medusa
Medusa勒索病毒是一种由犯罪分子操作的恶意软件,它通过加密受害者的文件来锁定系统,并要求支付赎金以换取解密密钥。这种勒索软件通常会在加密文件后附加特定的文件扩展名,并留下勒索信,指示受害者如何支付赎金。
Medusa 管理着一个勒索软件即服务 (RaaS) 操作,该操作采用利润分享模式,其中附属公司获得很大一部分赎金,而运营商保留较小的分成。
Medusa 以攻击医疗保健、制造和教育等行业而闻名。他们还将目标对准了政府和金融部门。这是一个机会主义威胁组织,不仅限于攻击来自特定地理区域或利益区域的受害者。他们对位于不同国家/地区的组织发起了攻击,包括美国、以色列、英国、澳大利亚、阿拉伯联合酋长国印度、伊朗、葡萄牙和许多其他国家。
首次出现时间:
2021年6月
攻击方法:
Medusa勒索病毒的运营商会使用多种技术来传播恶意软件,包括通过已被渗透的系统部署Web shell、使用PowerShell下载恶意软件、以及部署防御规避工具来终止或删除安全产品。攻击者还会通过网络侦查技术来扩展其工具的功能,并使用远程脚本来枚举文件和分析系统环境.
使用的工具:
| 发现 | RMM 工具 | LOLBAS |
|---|---|---|
| SoftPerfect 网络扫描 | 屏幕连接 | BITSAdmin |
| PsExec |
完整攻击链:
由于其攻击风格,Medusa 在新闻和网络安全论坛中得到了广泛的报道。映射到执行和防御规避的高级功能凸显了像 Medusa 这样的组织如何作为可怕的、不断演变的威胁运作。
瞄准已知漏洞是 Medusa 等勒索软件行为者规划其攻击路径的关键。下图说明了这种策略,这是勒索软件组 playbook 中的常见做法。
下图是勒索软件攻击 - 从漏洞发现到勒索软件部署:
漏洞利用:
Medusa 通过已知的弱点(例如 Fortinet EMS SQL 注入漏洞)访问目标系统。CVE-2023-48788 会影响安装了 FortiClient 终端防御软件 EMS 版本 7.2 至 7.2.2 和 7.0.1 至 7.0.10 以管理终端节点的环境。
该漏洞允许攻击者发送包含 SQL 语句的恶意 Web 请求。恶意 SQL 输入旨在更改在请求的标头部分找到并传递给 Fortinet 的 FCTDas 服务的 FCTUID 参数。FCTDas 是一个程序,用于解释路由到 SQL Server 数据库的传入请求。
在 FCTUID 参数成为 SQL 注入进程的受害者,允许攻击者操纵应用程序查询后,攻击者通过 SQL 输入发出 xp_cmdshell 命令。xp_cmdshell 是 Microsoft 的 SQL Server 的本机组件。调用该命令时,攻击者会执行远程代码执行,发出影响受影响服务器和连接资源和主机的命令。Medusa 在被利用的服务器上创建一个 webshell,用于交换有效负载和托管数据。这是使用 bitsadmin 等服务完成的。Webshell 配置为加密和/或隐藏流量。
美杜莎通过多种方法建立持久性。该集团在其活动中使用了受感染的 RMM 工具,例如 ConnectWise、PDQDeploy 和 AnyDesk。Medusa 使用可能被列入白名单的 RMM。该组还完成发现过程,以枚举受害环境中的应用程序。发现结果允许攻击者验证他们可以引入主机的程序类型,从而将他们受损的程序迭代掩盖为合法版本。
Medusa 通过 bitsadmin 将受感染的程序和其他有效载荷传输到受害者的系统。由于 RMM 通常具有受信任的安装程序,一旦加载到受害者的系统上,Medusa 就会继续他们的攻击链并逃避怀疑。
执行 PowerShell 命令以修改受害者主机上的注册表项值(例如在 HKLM 和 HKCU 中运行)后,也会建立持久性,以确保在启动时执行。
执行:
Medusa 利用 PowerShell 脚本运行影响主机系统的命令,泄露数据,并引用发起勒索软件攻击和执行加密所需的可执行文件和二进制代码。在执行阶段,执行 gaze.exe,通过发出 net 命令来终止大量服务。它还加载引用 TOR 链接的文件以进行数据泄露操作。
Medusa 的勒索软件使用非对称 RSA 加密对目标文件和目录进行编码,其中包括 Medusa 勒索软件说明的副本。这些路径中的文件扩展名被修改并以 .medusa 或 mylock 结尾;引用启动程序、程序依赖项或快捷方式(如 .exe、.dll 或 .lnk)的扩展通常被排除在加密过程中,以确保某些实用程序保持活动和功能。
横向移动:
Medusa 通常通过利用易受攻击的服务器并从 LSASS 提取凭据来获取凭据。Medusa 通过使用 bitsadmin 将恶意文件从其 Webshell 传输到受害者主机来建立横向移动。他们还可以使用其他工具,例如 PSExec 来实现相同的目的。
勒索地址:
平台一:常用邮箱
| 邮箱 |
|---|
| medusa.support@onionmail.org |
| MedusaSupport@cock.li |
平台二:自建暗网网站(Tor)
登录页
- 地址:
http://xfv4jzckytb4g3ckwemcny3ihv4i5p4lqzdpi624cxisu35my5fwi5qd.onion/
- 界面:
- 解释:美杜莎的博客
谈判页
- 地址:
http://uyku4o2yg34ekvjtszg6gu7cvjzm6hyszhtu7c55iyuzhpr4k5knewyd.onion/ http://5ar4vuckm3k7osdlzskqkaqmqr4jjpmdikuotmlpkrbsxx7ard3xetyd.onion/
- 界面:
- 解释:美杜莎聊天
泄漏数据页:
- 地址:
3. 解释:数据泄露地址,勒索软件倒数计时器、支付选项和向收款人付款信息
平台三:Telegram
https://t.me/+yXOcSjVjI9tjM2E0
平台四:Twitter
捕获分析:
Yara 规则:
rule win_medusa_auto {
meta:
author = "Felix Bilstein - yara-signator at cocacoding dot com"
date = "2023-07-11"
version = "1"
description = "Detects win.medusa."
info = "autogenerated rule brought to you by yara-signator"
tool = "yara-signator v0.6.0"
signator_config = "callsandjumps;datarefs;binvalue"
malpedia_reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusa"
malpedia_rule_date = "20230705"
malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
malpedia_version = "20230715"
malpedia_license = "CC BY-SA 4.0"
malpedia_sharing = "TLP:WHITE"
/* DISCLAIMER
* The strings used in this rule have been automatically selected from the
* disassembly of memory dumps and unpacked files, using YARA-Signator.
* The code and documentation is published here:
* https://github.com/fxb-cocacoding/yara-signator
* As Malpedia is used as data source, please note that for a given
* number of families, only single samples are documented.
* This likely impacts the degree of generalization these rules will offer.
* Take the described generation method also into consideration when you
* apply the rules in your use cases and assign them confidence levels.
*/
strings:
$sequence_0 = { ae 085ffb cf 51 46 a8cf f8 }
// n = 7, score = 100
// ae | scasb al, byte ptr es:[edi]
// 085ffb | or byte ptr [edi - 5], bl
// cf | iretd
// 51 | push ecx
// 46 | inc esi
// a8cf | test al, 0xcf
// f8 | clc
$sequence_1 = { 184e0f 6c 6f aa }
// n = 4, score = 100
// 184e0f | sbb byte ptr [esi + 0xf], cl
// 6c | insb byte ptr es:[edi], dx
// 6f | outsd dx, dword ptr [esi]
// aa | stosb byte ptr es:[edi], al
$sequence_2 = { d8b8291ba3f9 a939ef568f 46 005f6e 69c7d0234b91 1c14 2a18 }
// n = 7, score = 100
// d8b8291ba3f9 | fdivr dword ptr [eax - 0x65ce4d7]
// a939ef568f | test eax, 0x8f56ef39
// 46 | inc esi
// 005f6e | add byte ptr [edi + 0x6e], bl
// 69c7d0234b91 | imul eax, edi, 0x914b23d0
// 1c14 | sbb al, 0x14
// 2a18 | sub bl, byte ptr [eax]
$sequence_3 = { 51 ff7100 52 ff7200 53 }
// n = 5, score = 100
// 51 | push ecx
// ff7100 | push dword ptr [ecx]
// 52 | push edx
// ff7200 | push dword ptr [edx]
// 53 | push ebx
$sequence_4 = { 2048b3 a5 45 b051 9f }
// n = 5, score = 100
// 2048b3 | and byte ptr [eax - 0x4d], cl
// a5 | movsd dword ptr es:[edi], dword ptr [esi]
// 45 | inc ebp
// b051 | mov al, 0x51
// 9f | lahf
$sequence_5 = { 57 10872213d4b4 5b 00bb4b0c8cb2 }
// n = 4, score = 100
// 57 | push edi
// 10872213d4b4 | adc byte ptr [edi - 0x4b2becde], al
// 5b | pop ebx
// 00bb4b0c8cb2 | add byte ptr [ebx - 0x4d73f3b5], bh
$sequence_6 = { ab 92 6f 0c48 b5f9 43 }
// n = 6, score = 100
// ab | stosd dword ptr es:[edi], eax
// 92 | xchg eax, edx
// 6f | outsd dx, dword ptr [esi]
// 0c48 | or al, 0x48
// b5f9 | mov ch, 0xf9
// 43 | inc ebx
$sequence_7 = { 5f e1fb 1cc9 3ca5 2c8e }
// n = 5, score = 100
// 5f | pop edi
// e1fb | loope 0xfffffffd
// 1cc9 | sbb al, 0xc9
// 3ca5 | cmp al, 0xa5
// 2c8e | sub al, 0x8e
$sequence_8 = { 670048ff 680049ff69 004aff 6a00 4b ff6b00 4c }
// n = 7, score = 100
// 670048ff | add byte ptr [bx + si - 1], cl
// 680049ff69 | push 0x69ff4900
// 004aff | add byte ptr [edx - 1], cl
// 6a00 | push 0
// 4b | dec ebx
// ff6b00 | ljmp [ebx]
// 4c | dec esp
$sequence_9 = { e60e 6c 7bbc 45 }
// n = 4, score = 100
// e60e | out 0xe, al
// 6c | insb byte ptr es:[edi], dx
// 7bbc | jnp 0xffffffbe
// 45 | inc ebp
$sequence_10 = { ff7300 54 ff740055 ff7500 56 }
// n = 5, score = 100
// ff7300 | push dword ptr [ebx]
// 54 | push esp
// ff740055 | push dword ptr [eax + eax + 0x55]
// ff7500 | push dword ptr [ebp]
// 56 | push esi
$sequence_11 = { 334a54 98 56 39ec 51 7fa1 6d }
// n = 7, score = 100
// 334a54 | xor ecx, dword ptr [edx + 0x54]
// 98 | cwde
// 56 | push esi
// 39ec | cmp esp, ebp
// 51 | push ecx
// 7fa1 | jg 0xffffffa3
// 6d | insd dword ptr es:[edi], dx
$sequence_12 = { b051 9f 4a d7 b9533e507c }
// n = 5, score = 100
// b051 | mov al, 0x51
// 9f | lahf
// 4a | dec edx
// d7 | xlatb
// b9533e507c | mov ecx, 0x7c503e53
$sequence_13 = { b5f5 42 317f52 56 }
// n = 4, score = 100
// b5f5 | mov ch, 0xf5
// 42 | inc edx
// 317f52 | xor dword ptr [edi + 0x52], edi
// 56 | push esi
$sequence_14 = { bfdb4a7adc de6326 9e 45 334a54 98 }
// n = 6, score = 100
// bfdb4a7adc | mov edi, 0xdc7a4adb
// de6326 | fisub word ptr [ebx + 0x26]
// 9e | sahf
// 45 | inc ebp
// 334a54 | xor ecx, dword ptr [edx + 0x54]
// 98 | cwde
$sequence_15 = { 3ca5 2c8e a1???????? d528 32f4 }
// n = 5, score = 100
// 3ca5 | cmp al, 0xa5
// 2c8e | sub al, 0x8e
// a1???????? |
// d528 | aad 0x28
// 32f4 | xor dh, ah
condition:
7 of them and filesize < 1720320
}
Unit 42 研究人员观察到 Medusa 勒索软件运营商将 Webshell 上传到被利用的 Microsoft Exchange Server。此 Webshell 功能与之前报告的 login.aspx 和 cmd.aspx 的 ASPX 文件重叠。
在 webshell 活动之后,威胁行为者使用 PowerShell 从名为 filemail. 的文件托管站点执行 bitsadmin 传输。com 的。从此站点下载的文件是 ZIP 压缩的,标题为 baby.zip。在解压缩和执行后,它安装了远程监控和管理 (RMM) 软件 ConnectWise。
防御闪避:
Unit 42 研究人员观察到 Medusa 勒索软件运营商丢弃了两个内核驱动程序,用于针对不同的安全产品集。每个内核驱动程序都使用名为 Safengine Shielden 的软件保护程序进行保护。驱动程序上使用的 Safengine Shielden 保护程序通过各种代码更改随机化代码来混淆代码流,然后利用嵌入式虚拟机解释器来执行代码。
Unit 42 观察每个司机与自己的装载机配对。每个装载机都使用名为 ASM Guard 的包装机进行包装。
打包的加载程序在伪造的 UPX 字节旁边使用伪造的 UPX 报头和后续地址,如图 9 所示。在资源部分,有大量对 ASM Guard 的引用,以及虚假的 WINAPI 导入以及其他各种垃圾填充。
驱动程序加载程序的标头与 ASM Guard 打包在一起。
驱动程序加载程序的 resource 部分与 ASM Guard 打包在一起。 显示了驱动程序入口点在受到 Safengine Shielden 保护后的样子。
受 Safengine Shielden 保护的驾驶员静态视图。 这两个驱动程序的主要目标是包含要终止或删除的安全终端节点产品列表。图 12 中所示的安全产品字符串名称的硬编码列表用于与系统上主动运行的进程进行比较操作。
第一个驱动程序以终止的安全进程列表为目标。 如果系统的进程名称与硬编码的安全工具进程名称匹配,则使用未记录的 IOCTL 代码 (0x222094) 来终止进程,如图所示。这两个驱动程序之间的主要区别在于使用文件路径和 IOCTL (0x222184),它将根据提供的文件路径删除文件。
第二个驱动程序以文件路径和进程列表为目标。
发现和侦察: Unit 42 研究人员观察到 Medusa 勒索软件行为者使用 Netscan 的便携式版本——具有新颖的转折。关联的 netscan.xml 文件与软件配对,增强了开箱即用的整体功能。这包括各种类型的远程服务发现和用于 PsExec 等操作的预配置映射,以及勒索软件二进制文件的部署。 自定义配置中提供了许多与以下内容相关的选项:
- WMI
- 注册表
- 服务业
- 文件
- SNMP (SNMP 协议)
- 帐户组
- XML 格式
- SSH 公司
- PowerShell 远程脚本功能通过 VBScript 和 JScript 扩展了该工具的功能。 包含的远程脚本使用西里尔文脚本(如图 14 所示)。它们被翻译成英文(如图 15 所示)。这为配置的创建者和用户的首选语言提供了线索,并且可能提供了使用这些功能的 Medusa 勒索软件团伙的背景线索。
原始西里尔文中的远程脚本功能。
远程脚本功能已翻译成英文。 显示了文件列表脚本的代码库示例,以及与 Windows 目录下枚举的文件返回的内容相关的内容。
脚本文件列表的示例, 显示了与找到的特定登录类型相关的登录时间脚本的代码库,以及它返回的字段。
登录时间脚本示例。 完成网络扫描后,该工具的操作员可以右键单击结果中列出的设备,并在远程系统上提供许多自定义的点击选项,如下图 18 所示。图 18 所示菜单中以 Gaze 结尾的选项显示了 Medusa 勒索软件使用的与勒索软件二进制文件相关的命名约定,并深入了解了部署 Medusa 勒索软件的技术。
- Copy_Gaze (Ctrl+G)
- 部署凝视 (Ctrl+T)
- Copy_Run_Gaze (Ctrl+W)
Medusa 勒索软件配置。
深入了解Medusa:
Unit 42 观察到 Medusa 的勒索软件二进制文件中的一个共同主题,该主题与 Medusa 本人的神话一致:在 PEStudio 的调试路径中使用和包含术语 gaze,如图 19 所示。这个主题延续了二进制文件的名称和 netscan.xml 配置文件中使用的命名方案(前面提到过)。在下一节中,我们将勒索软件二进制文件称为 Gaze。
Gaze 二进制文件中的 PDB 字符串。 Medusa 勒索软件的 Windows 变体可以使用 11 个可能的参数运行,如下表 所示。
| 参数 | 描述 |
|---|---|
| V | 检查勒索软件二进制文件的版本 |
| n | 使用网络驱动器(使用字节标志) |
| s | 排除系统驱动器(使用字节标志) |
| d | 不自行删除 |
| f | 排除系统文件夹 |
| p | 不要使用 preprocess (使用字节标志) |
| k | 从文件加载 RSA 公钥 |
| t | 从文件加载赎金记录 |
| w | PowerShell -execution policy bypass -File %s |
| v | 显示控制台窗口 |
| i | 加密特定文件夹 |
当使用 -V 参数运行 2023 年 11 月的 Windows 可执行示例时,该示例标识为版本 1.20,如下图 20 所示。这个版本控制系统表明勒索软件有某种开发周期,因为最早的公开发现勒索软件二进制文件之一是 2023 年 2 月上传的,版本是 1.10。在 SHA-256 736de79e0a2d08156bae608b2a3e63336829d59d38d61907642149a566ebd270 中观察到它。
Medusa 勒索软件二进制文件对以下功能采用字符串加密:
- 有针对性的服务
- 目标流程
- 文件扩展名允许列表
- 文件夹路径允许列表 显示了二进制文件中许多字符串解密代码块的一个代码块示例,所有这些代码块都有类似的控制流。每个字符串解密代码块有两个功能。第一个函数将加密的字符串移动到内存中,如图 21 中u42_push_string_medusa所示。第二个函数名为 u42_string_decrypt_7characters,使用密钥为 0x2E 的 XOR 加密方法。
Gaze.exe 勒索软件示例中的字符串解密函数。
字符串的十六进制表示形式在函数堆栈帧上移动和分配,然后将十六进制字符串移动到内存的某个部分,并使用取消引用的指针进行检索。将加密的十六进制字符串0x2E6F7D7B6A6B6300的反编译视图。
当函数u42_push_string_medusa完成并返回指向字符串的指针时,它最初将位于 EAX 中,如图 21 所示。EAX 将移动到 ESI 中,然后 ESI 的内容将移动到 ECX 中。寄存器 ECX 是传递给函数 u42_string_decrypt_7character 的参数,其中包含加密的字符串指针。
指向字符串内容的指针用作数组来访问字符串中的每个字符。XOR 使用 0x2E 密钥对其进行解密。
0x2E6F7D7B6A6B6300 上使用的字符串解密函数的反编译视图。 字符串解密方法的验证如图 下图所示,其中有一个 Cyber Chef 配方。使用 CyberChef 验证字符串解密。
Medusa 勒索软件使用 RSA 非对称加密来保护用于加密受害者文件的 AES256 密钥。AES256 密钥使用 32 字节密钥和 16 字节初始化向量进行设置。加密文件将重命名为扩展名 .medusa。 在文件枚举和加密期间,该示例会避免使用以下扩展名的文件:
- .dll
- .exe
- .lnk
- 。水母 要跳过的文件夹路径列表如下:
- \窗户\
- \Windows.old\
- \性能日志\
- \MSOCache\
- G_skp_dir
- 程序文件
- 程序文件 (x86)
- ProgramData 的 API 数据。 赎金票据被删除为 !!read_me_medusa!!.txt 及其内容如图所示
勒索软件将执行各种与 vssadmin 相关的操作,并使用以下命令自行删除,以影响恢复和取证工作:
- vssadmin 删除影子 /all /quiet
- vssadmin 调整影子存储大小 /for=C: /on=C: /maxsize=401MB
- vssadmin 调整 shadowstorage /for=C: /on=C: /maxsize=unbounded
- cmd /c ping localhost -n 3 > nul & del
加密算法:
RSA+AES
加密钱包:
暂无信息
受害者勒索金额:
| 日期 | 公司 | 描述 |
|---|---|---|
| 2024-11-06 | 联合睡眠诊断公司 | United Sleep Diagnostics 专门从事睡眠障碍的监测。United Sleep Diagnostics 公司办公室位于 3635 Bell Blvd Ste 202, Bayside, New York, 11361, United States,拥有 106 名员工。数据泄露总量为 1.20 TB |
| 2024-11-06 | 联盟技术小组 | Alliance Technical Group - 公司为北美一些最重要的公司和品牌提供环境管理和合规问题的解决方案。Alliance Technical Group 公司总部位于 255 Grant St SE Ste 600, Decatur, Alabama, 35601, United States,拥有 1,400 名员工。数据泄露总量为 1.2 TB |
| 2024-10-15 | 建筑系统公司 | Construction Systems inc. 为医疗、商业办公、工业、零售、教育等提供完整的商业装修和专业安装服务。Construction Systems 公司办公室位于 2865 E 14th Ave, Columbus, Ohio, 43219, United States,拥有 105 名员工。数据泄露总量为 80.80 GB |
| 2024-10-10 | Travel Alberta | Travel Alberta(成立于 2009 年)是阿尔伯塔省的旅游营销组织。Travel Alberta 公司办公室位于 400-1601 9 Ave SE, Calgary, Alberta, T2G 0H4, Canada,拥有 110 名员工。数据泄露总量为 799.80 GB |
| 2024-09-28 | 普罗维登斯公立学校部 | 普罗维登斯公立学校部门是罗德岛州普罗维登斯公立小学学区背后的行政力量。它为大约 21,700 名学前班到 12 年级的学生提供服务。它有 21 所小学、7 所初中和 9 所高中,以及两所公立特许学校。数据泄露总量为 201.40 GB |
| 2024-09-28 | AZPIRED | AZPIRED 是一个外包服务中心,在菲律宾设有多个地点,在宿雾和卡加延德奥罗市设有三个办事处。Azpired 公司办公室位于 12260 Trail Spring Ct, Las Vegas, Nevada, 89138, United States,拥有 124 名员工。数据泄露总量为 205.70 GB |
| 2024-09-28 | Compass Group | Compass Group 是澳大利亚最大的食品和支持服务公司。康帕思集团澳大利亚公司办公室位于澳大利亚新南威尔士州麦克马洪斯角米切尔街 35-51 号,邮编 2060,拥有 13,000 名员工。数据泄露总量为 785.5 GB |
| 2024-09-28 | Røros Hotell | Røros Hotell(成立于 1951 年)- 一家设有电影院、儿童游乐场和其他设施的酒店。酒店位于挪威奥斯陆 Postboks 67,Økern 0508 的 Roros Hotell (Avd.300)。数据泄露总量为 53.80 GB |
| 2024-09-15 | Shomof 集团 | Shomof Group 是利用该市适应性再利用条例的开发商,从事洛杉矶市中心办公楼的重建。Shomof Group 的房地产投资组合也适用于洛杉矶、长滩、奥兰治县、圣费尔南多谷和低收入住房专业的拉斯维加斯。Shomof Group 公司总部位于 9708 Gilespie St, Las Vegas, Nevada, 89183, United States,拥有 12 名员工。数据泄露总量为 130.00 GB |
| 2024-06-13 | GEMCO Constructors | 要求 GEMCO 支付 90 万美元的赏金,GEMCO Constructors总部位于美国印第安纳州印第安纳波利斯。勒索软件攻击者声称可以访问该组织 1.0 TB 的数据,并威胁将在 6-7 天内公布这些数据。 |
| 2024-06-13 | Dynamo Electric | 要求 GEMCO 支付 10 万美元的赏金,MEDUSA 声称已经窃取了该组织 149.6 GB 的数据,并计划在 6-7 天内公布。 |
| 2024-06-13 | Farnell Packaging | 要求 GEMCO 支付 10 万美元的赏金,攻击者声称已访问了该公司 193.9 GB 的数据,并警告称这些数据将在 8-9 天内公布。 |
谈判记录:
暂无
近期攻击案例:
Medusa一段时间内的活动图:
受害者分布国家:
变种演化:
暂无信息
IOC 信息
| SHA-256 |
|---|
| 4d4df87cf8d8551d836f67fbde4337863bac3ff6b5cb324675054ea023b12ab6 |
| 657c0cce98d6e73e53b4001eeea51ed91fdcf3d47a18712b6ba9c66d59677980 |
| 736de79e0a2d08156bae608b2a3e63336829d59d38d61907642149a566ebd270 |
| 7d68da8aa78929bb467682ddb080e750ed07cd21b1ee7a9f38cf2810eeb9cb95 |
| 9144a60ac86d4c91f7553768d9bef848acd3bd9fe3e599b7ea2024a8a3115669 |
| SHA1 格式 |
|---|
| 5d5027305deb2cb2fd263fea9a6011af |
| 35DFC1FCB06FE31264A3FC7FF307E166 |
| IP 地址 |
|---|
| 103.217.41.10 |
| 194.28.50.70 |
| 198.54.123.60 |
| 45.61.185.34 |
| 176.123.9.68 |
| 103.131.70.228 |
| 91.219.236.204 |
| 193.178.169.19 |
18363040868
