Analyse neuer TorrentLocker Ransomware-Änderungen

    Im Dezember 2014 veröffentlichten ESET-Experten ein Whitepaper mit Informationen über eine Familie von Ransomware-Ransomware namens TorrentLocker, von denen Kopien per Phishing-E-Mail im Auftrag von angeblich lokalen Post-, Energie- oder Telekommunikationsunternehmen verteilt wurden. In dem Dokument wurden das Verbreitungsschema dieser Art von Malware, ihre Hauptfunktionalität und das verwendete Netzwerkprotokoll umfassend beschrieben. Wir haben auch auf einige Ähnlichkeiten zwischen dem TorrentLocker-Code und dem Hesperbot-Banking-Trojaner hingewiesen. In den letzten Monaten wurden neue Beispiele der TorrentLocker-Familie zur Verfügung gestellt, damit wir den aktuellen Status der Funktionen und des Codes dieses Schadprogramms verfolgen können.

    2014 verwendeten TorrentLocker-Autoren den Namen einer anderen bekannten Ransomware - CryptoLocker. Der Name CryptoLocker wurde auf die Lösegeld-Webseite gesetzt. Aus uns unbekannten Gründen ersetzten die Autoren ein Jahr später die Buchstaben „o“ im Titel durch Nullen und ergaben das Wort „Crypt0l0cker“. Bei der Suche nach neuen Ransomware-Beispielen haben wir keine signifikanten Unterschiede im Code selbst, in der Art der Verteilung und in der Infrastruktur der verwaltenden C & C-Server festgestellt. Wir glauben, dass die gleiche Cyberkriminellengruppe hinter der Ausbreitung neuer Muster steckt. Um Verwirrung zu vermeiden, haben wir beschlossen, den Namen TorrentLocker anstelle des von Cyberkriminellen verwendeten Crypt0l0cker zu belassen.

    Verteilungsmuster


    Die derzeitige Methode zum Verteilen von Mustern des Verschlüsselungsprogramms ist der im Jahr 2014 verwendeten Methode sehr ähnlich. Phishing-E-Mails enthielten einen Link zu einer Webseite mit einem Rechnungszahlungsdokument oder Paketverfolgungscode. Der Link verweist auf den TorrentLocker-Dropper, der nach dem Laden durch den Benutzer zur Ausführung gestartet werden kann. Sobald dies passiert ist, beginnt die Ransomware mit dem verwaltenden C & C-Server zu interagieren und beginnt auch mit dem Verschlüsseln der Benutzerdateien. Die folgende Liste enthält Organisationen, unter denen Angreifer von April bis August 2016 ihre Phishing-Nachrichten getarnt haben.


    Wie im Dokument von 2014 bereits erwähnt, kann auf die zur Verbreitung der Malware verwendeten URLs nur von dem Land aus zugegriffen werden, in das die Benutzer der jeweiligen böswilligen Kampagne gelangen. Auf diese Weise erschweren Betreiber die Arbeit von Antiviren-Analysten oder automatischen Tools zum Sammeln von URL-Daten außerhalb dieses Landes.


    Abb. 1. Ein Beispiel für eine Phishing-Nachricht für österreichische Benutzer, die als Österreichische Post getarnt sind.


    Abb. 2. Die Download-Seite der Malware-Datei bei österreichischen Nutzern, die sich als A1 Telekom tarnen.


    Abb. 3. Die Seite zum Herunterladen der Verschlüsselungsdatei für Benutzer in Österreich unter Verwendung der Verkleidung des AFP-Mail-Dienstes.


    Abb. 4. Die Kryptodatei-Download-Seite für österreichische Benutzer unter der Tarnung des Verbund-Dienstes.

    Obwohl das obige Schema im Allgemeinen mit dem vorherigen Schema übereinstimmt, gibt es einige Änderungen. In der neuen Version haben Malware-Betreiber der Linkkette mehrere zusätzliche Umleitungsebenen hinzugefügt, die zum Herunterladen der TorrentLocker-Datei führen. Ein Phishing-Link im Hauptteil der E-Mail führt zu einem PHP-Skript, das auf einem kompromittierten Server gehostet wird. Der Skriptcode überprüft den Standort des Besuchers, dh seinen Standort in dem Land, in das die böswillige Kampagne geleitet wird. Wenn diese Bedingung erfüllt ist, wird der Besucher der Webseite zum nächsten Schritt des Herunterladens der Verschlüsselungsdatei weitergeleitet. Andernfalls wird das potenzielle Opfer auf die Google-Website weitergeleitet. Das vom Opfer heruntergeladene Malware-Archiv Enthält eine verschleierte JavaScript-Datei, die die TorrentLocker PE-Datei lädt und ausführt. ReaQta veröffentlicht inzwei Teile , die Untersuchung dieses böswilligen Schemas. Das folgende Beispiel zeigt eine Reihe von Weiterleitungen, die zum Start von Ransomware und Dateiverschlüsselung im System führen.

    1. Die Phishing-Nachricht enthält einen Link zu einer "Auflistung des Tracking-Codes". Der Link hat die Form hxxp: //diniyat.com/jKu8xT.php? Id=victim@domain.nl .
    2. Außerdem wird der Benutzer zu folgendem hxxp- Link weitergeleitet : //azrs.postnl-tracking24.org/yr7mb.php? Id = dmljdGltQGRvbWFpbi5ubA == .
    3. Der Benutzer folgt dem folgenden Link, um die Datei auf den hxxp- Computer herunterzuladen : //azrs.postnl-tracking24.org/file/PostNL-pakket.zip .
    4. Der Benutzer öffnet das Archiv und klickt doppelt auf eine Datei mit dem Namen PostNL-pakket.js .
    5. Der JavaScript-Loader initiiert das Herunterladen und Starten der ausführbaren TorrentLocker-Datei auf dem System des Opfers. Der Download erfolgt über die URL hxxp: //sudoimpex.ru/administrator/file.exe .

    Die Malware kann weiterhin Adressbuchdaten und SMTP-Einstellungen extrahieren, um die weitere Verteilung sicherzustellen.

    Die Autoren haben ein spezielles Passwort hinzugefügt, um die Auflistung von Webseiten mit Lösegeldinformationen zu verhindern.

    Unsere Analyse von 2014 ergab, dass die Angreifer die Methode der Generierung sogenannter „Benutzercodes“ auf der C & C-Serverseite verwendeten, um die Opfer zu identifizieren. Solche Codes waren ziemlich vorhersehbar, da sie sequentiell erzeugt wurden. Diese Schwachstelle ermöglichte es uns, auf jede Webseite mit einer Lösegeldforderung zuzugreifen und Statistiken darüber zu sammeln, wie viele Benutzer das Lösegeld an Angreifer aus welchen Ländern usw. ausgezahlt haben. Zu dem Zeitpunkt, als unsere TorrentLocker-Studie veröffentlicht wurde, hatten die Betreiber bereits eine spezielle 4- x-stelliges Passwort für den Zugriff auf die Lösegeld-Webseite. Nach RecherchenTrend Micro, der Benutzerpass-Parameter, wurde bereits am 9. Dezember 2014, d. H. Eine Woche vor der Veröffentlichung unseres Berichts zu TorrentLocker, zum ersten Mal beobachtet. So haben die Betreiber möglicherweise Informationen über die erwähnte Schwachstelle bei der Implementierung ihres Algorithmus nicht aus unserem Bericht erhalten, sondern durch Analyse ihrer eigenen Quellen. Nachdem sie festgestellt hatten, dass Antivirus-Forscher auf alle Ransomware-Webseiten zugreifen konnten, fügten sie ein spezielles Kennwortfeld hinzu, um zu verhindern, dass alle derartigen Webseiten aufgelistet werden. Der Generierungsalgorithmus für "Benutzercode" ist in aktuellen Kampagnen noch vorhersehbar, das Feld "Benutzerkennwort" ist jedoch nicht vorhersehbar. Höchstwahrscheinlich werden diese Werte zufällig auf der Seite des C & C-Servers generiert.


    Abb. 5. URL-Format im Jahr 2014


    Abbildung 6. URL-Format mit "Benutzerpasswort".

    Verschleierung


    Für unsere Analyse haben wir drei Beispiele von TorrentLocker ausgewählt, die mit verschiedenen Kryptoren gepackt wurden. Wir brauchten nicht viel Zeit, um solchen Code zu analysieren. Wie wir im Jahr 2014 festgestellt haben, enthalten TorrentLocker-Beispiele mehrere Ebenen der Code-Entschlüsselung, und der Payload-Code selbst ist in den vertrauenswürdigen Prozess explorer.exe eingebettet. Die Core Ransomware- Komponente exportiert weiterhin Funktionen mit den Namen _local_entry und _remote_entry . Dieses Schema wurde jedoch in dem in der Kampagne mit dem Namen main-13 verwendeten Malware-Beispiel geändert, als die Ransomware ihren Code nicht in explorer.exe eingebettet hat .

    Nach dem Auspacken verwendet das Ransomware-Kernmodul zusätzliche Verschleierungsmechanismen, um die Analyse für Analysten zu erschweren. Wir beschreiben zwei Möglichkeiten, Code zu verschleiern, die in den Beispielen von 2014 nicht enthalten waren: Erstens werden die Zeilen in der Datei mit einem fest verdrahteten Schlüssel verschlüsselt. Der Schlüssel ist für verschiedene TorrentLocker-Beispiele identisch, außer dass seine Länge in verschiedenen Fällen unterschiedlich ist. Verschlüsselte Zeichenfolgen können mit einer einfachen XOR-Operation und dem angegebenen Schlüssel in ihre ursprüngliche Form zurückversetzt werden. Wir haben veröffentlicht die Ressource Github spezielles Skript zu entschlüsseln Strings aus dem unkomprimierten Probe extortionist.

    Schädlicher Code importiert wichtige Windows-API-Funktionen dynamisch unter Verwendung von 32-Bit-Hashes ihres Namens. Eine solche Operation wurde wiederholt von Schadprogrammen verwendet und besteht darin, die Namen der exportierten Funktionen einer bestimmten Bibliothek aufzulisten und den Hash jedes Namens zu berechnen. Die Funktion, die für die Implementierung dieser Operation verantwortlich ist, haben wir resolve_and_call_function genannt . Es wird eine andere Anzahl von Parametern als Eingabe verwendet, von denen die ersten drei konstant sind. Das erste Argument ist ein Index im Array der Bibliotheksnamen, der zweite Parameter gibt den Hash des Funktionsnamens und die dritte Anzahl der an die API-Funktion übergebenen Argumente an. Die übrigen Parameter sind die Werte, die beim Aufruf an die API-Funktion übergeben werden. Zum Beispiel ein FunktionsaufrufInternetOpenW könnte so aussehen.

    resolve_and_call_function( 
        23,        // wininet.dll
        0xF190D96, // hash("InternetOpenW")
        5,         // nargs
        0, 0, 0, 0, 0x8404C700 // args
    );
    // calls InternetOpenW(NULL, INTERNET_OPEN_TYPE_PRECONFIG, NULL, NULL,
    INTERNET_FLAG_PRAGMA_NOCACHE|INTERNET_FLAG_NO_UI|INTERNET_FLAG_HYPERLINK|\
    INTERNET_FLAG_IGNORE_REDIRECT_TO_HTTPS|INTERNET_FLAG_IGNORE_REDIRECT_TO_HTTP|\
    INTERNET_FLAG_NO_AUTH|INTERNET_FLAG_NO_CACHE_WRITE|INTERNET_FLAG_RELOAD)

    Interaktion mit dem verwaltenden C & C-Server


    Eine der bemerkenswertesten Änderungen in der neuen TorrentLocker-Modifikation war eine Änderung der Ransomware-Interaktionsmethode auf dem C & C-Server. Wie in früheren Versionen versuchen neue Malware-Beispiele, über eine URL, die fest mit dem Hauptteil der ausführbaren Datei verbunden ist, mit dem C & C-Server zu interagieren. Es werden jedoch jetzt nach dem Zufallsprinzip generierte Unterdomänennamen verwendet, da festverdrahtete Domänen normalerweise schnell abgebaut werden.

    Es ist interessant festzustellen, dass die Ransomware versucht, den anonymen Netzwerkdienst von Tor zu verwenden, wenn die Verbindung zum C & C-Server fehlschlägt. Die kompakte Tor-Client-Implementierung ist statisch mit ausführbarem Ransomware-Code verknüpft. Daher muss der Malware-Code nicht auf Tor-Anwendungen von Drittanbietern basieren. Die Interaktion mit dem verwaltenden C & C-Server über den anonymen Netzwerkdienst von Tor wird bei Ransomware-Autoren immer beliebter. Die Verwendung dieser Methode durch Cyberkriminelle erschwert die Erkennung des physischen Standorts des C & C-Servers durch Antivirus-Forscher erheblich.


    Abb. 7. Pfade zu den Quelldateien in der Ransomware-Datei, die angeben, dass die Tor-Komponente die LibreSSL-Bibliothek verwendet.

    Das Folgende ist eine Liste von Domänen, die in den drei verschiedenen Proben, die wir analysiert haben, verwendet wurden.



    Die folgenden Zwiebeldomänen des anonymen Tor-Netzwerks wurden in den von uns analysierten Proben in der folgenden Reihenfolge gefunden.

    • mz7oyb3v32vshcvk.onion
    • h453liaclp7vmxnb.onion
    • vrympoqs5ra34nfo.onion

    Wir haben keine wesentlichen Änderungen bei der Implementierung des Kommunikationsprotokolls festgestellt, mit Ausnahme des Hinzufügens eines neuen Felds der öffentlichen IP-Adresse des Opfers, wenn der Tor-Dienst verwendet wird. Dem Interaktionsprotokoll der Ransomware mit dem C & C-Server wurde ein neues Feld hinzugefügt, damit C & C selbst die IP-Adresse der Anforderungsquelle überprüfen kann. Diese wird bei Verwendung von Tor ausgeblendet. TorrentLocker verwendet die IP-Adresse, um die entsprechende Webseite mit einer Rückkaufanfrage in der entsprechenden Sprache zu lokalisieren und zu generieren sowie den Rückkaufbetrag in der Währung der Region anzuzeigen

    Wenn frühere Versionen von TorrentLocker nur sichere HTTPS-Verbindungen zur Verschlüsselung der zwischen der Ransomware und ihrem C & C-Server übertragenen Daten verwendeten, wird mit der neuen Version eine zusätzliche Verschlüsselungsstufe hinzugefügt. Dazu wird der symmetrische Algorithmus AES-256-CBC verwendet, der vor dem Generieren der POST-Anforderung für das HTTP-Protokoll verwendet wird, das wiederum entweder mit SSL bei Verwendung von HTTPS oder mit Tor verschlüsselt wird. Der Verschlüsselungsschlüssel ist fest in der ausführbaren Datei des Verschlüsselers codiert und kann nicht sofort geändert werden, da andere TorrentLocker-Beispiele auf dem C & C-Server nicht ordnungsgemäß mit C & C funktionieren, wenn der Schlüssel geändert wird. Die von uns beobachteten AES-Schlüssel sind am Ende aufgelistet.

    Ransomware-Verhalten basierend auf dem Ort des Opfers


    Ein bekanntes Merkmal der TorrentLocker-Ransomware ist die Lokalisierung von Webseiten zum Herunterladen von Malware, Lösegeldanforderungen und die Bezahlung. Angreifer stellen ihren Opfern Informationen in ihrer Muttersprache und Währung zur Verfügung, die für sie relevant sind. Für unsere Analyse haben wir versucht, Informationen darüber zu sammeln, für welche Länder die Angreifer die Lokalisierung durchgeführt haben.

    Um solche Informationen zu sammeln, mussten wir bei Verwendung des anonymen Tor-Netzwerks die externe IP-Adresse manuell einstellen. Wir haben diesen Parameter oben beschrieben. Wenn die Ransomware über Tor mit ihrem C & C-Server kommuniziert, legt sie die IP-Adresse des Opfers als Argument fest, damit er die richtige Lokalisierung der Webseite mit einer Lösegeldanforderung für den Benutzer auswählen kann. Wir haben es geschafft, die IP-Adresse für jedes Land auszuwählen und dem C & C-Server eine Nachricht über den Kompromiss des Opfers zu senden, in der diese Adresse als Parameter angegeben ist. Gleichzeitig konnten wir für verschiedene Kampagnen geeignete Webseiten mit Lösegeldforderungen und Zahlungsanweisungen erhalten.

    Die Standardwebseite enthält englischen Text und gibt den Dollar als Währung für die Zahlung des Lösegelds an. Wir haben 22 Länder gefunden, für die Angreifer die genannten Webseiten lokalisiert haben. Nachfolgend finden Sie eine Liste dieser Länder.

    • Australien
    • Österreich
    • Belgien
    • Tschechien
    • Dänemark
    • Frankreich
    • Deutschland
    • Italien
    • Japan
    • Martinique
    • Holland
    • Norwegen
    • Polen
    • Portugal
    • Korea
    • Spanien
    • Schweden
    • Schweiz
    • Taiwan
    • Thailand
    • Die Türkei
    • UK

    Wir haben TorrentLocker-Phishing-Kampagnen für jedes Land in Fettdruck gesehen. Es ist noch nicht klar, ob andere TorrentLocker-Verteilungsmechanismen in früheren Kampagnen verwendet wurden und ob sie in Zukunft verwendet werden.

    Wir haben auch festgestellt, dass die Ransomware es ablehnt, die Dateien ihrer Opfer für mehrere Länder zu verschlüsseln. Wir haben dieses Verhalten der Malware bereits bemerkt, aber dieses Mal haben wir es geschafft, eine Liste solcher Länder zu erhalten.

    • China
    • Russland
    • Ukraine
    • USA

    Kryptographie


    Obwohl das allgemeine Verschlüsselungsschema der Ransomware keine wesentlichen Änderungen erfahren hat, wurden einige Aspekte ihrer Implementierung geändert. 2014 verwendete TorrentLocker die kryptografische Bibliothek LibTomCrypt. Frische kryptografische Beispiele verwenden jedoch Microsoft CryptoAPI-Funktionen (Kampagnenbeispiele mit den Bezeichnern "main-9" und "main-12"). Eine weitere interessante Tatsache ist, dass die Autoren des Schadprogramms die LibTomCrypt-Bibliothek in Beispielen vom 10. August 2016 (Kampagne mit der Kennung "main-13") wieder verwendeten. Uns ist nicht ganz klar, warum die Autoren der Ransomware auf die vorherige Bibliothek umgestiegen sind. Unabhängig von der verwendeten Bibliothek entspricht der Initialisierungsvektor (IV) immer 32 Bytes mit Nullinhalt.

    Wie bereits erwähnt, ist die Interaktion der Ransomware mit dem C & C-Server verschlüsselt. Die Verschlüsselung gilt jedoch auch für andere TorrentLocker-Dateien, einschließlich der Konfigurationsdatei. Zu diesem Zweck wird der symmetrische Verschlüsselungsalgorithmus AES-256 mit einem Schlüssel verwendet, der fest im Hauptteil des Schadprogramms verankert ist, was sich in den verschiedenen Kampagnen unterscheidet. TorrentLocker-Dateinamen werden zufällig generiert.


    Abb. 8. Das Konfigurationsverzeichnis von TorrentLocker.

    Mit dem AES-256 CBC-Algorithmus verschlüsselt die Ransomware die Dateien auf dem Computer des Opfers, die Konfigurationsdateien sowie die Daten für den C & C-Server. Die CryptGenRandom- API-Funktion wird zum Generieren eines 32-Byte-Verschlüsselungsschlüssels verwendet . Jedes dieser Bytes wird dann zum unteren Byte des Funktionswerts GetTickCount addiert .


    Abb. 9. Ablauf der Codeausführung während der Erzeugung des Verschlüsselungsschlüssels.

    Dateien auf dem Computer werden mit demselben identischen Schlüssel verschlüsselt. Dieser Schlüssel wird dann mit einem öffentlichen RSA-Schlüssel verschlüsselt, der fest im Körper der Ransomware verkabelt und an den Kontroll-C & C-Server gesendet wird. In allen anderen TorrentLocker-Beispielen wurde derselbe öffentliche Schlüssel gefunden.

    Die Ransomware verlässt das System und verschlüsselt keine Windows-Systemdateien. Frühere Versionen von TorrentLocker enthielten eine Liste der Erweiterungen der zu verschlüsselnden Dateien, z. B. ".doc", ".docx", ".xls". Neuere Versionen der Ransomware enthalten dagegen eine Liste von Dateiausschlüssen, die nicht verschlüsselt werden können. Diese Liste enthält verschiedene ausführbare Dateien mit den Erweiterungen ".exe", ".dll", ".sys". Eine vollständige Liste dieser Dateien finden Sie weiter unten.

    Eine weitere kleine Änderung betrifft die Größe der verschlüsselten Dateidaten. In den Versionen von 2014 verschlüsselte die Ransomware die ersten 2 MB-Dateien. Sophos berichtete, dass die Größe des verschlüsselten Teils in den neuen Versionen auf die ersten 1 MB reduziert wurde.

    Fazit


    Die Ransomware TorrentLocker ist nach wie vor recht aktiv und wird von vielen Forschern gern gesehen, da Angreifer gezieltes Phishing einsetzen, um diese Malware zu verbreiten.

    Kompromissindikatoren (IoC) und zusätzliche Informationen

    Datei 1
    SHA-1: 2BF11BD7C946F36A690BD2DDB6623BF478E8F37B Kompilierungsdatum
    : Di, 17. Mai, 07:13:48 2016
    Kampagnen-ID: main-9
    ESET-Erkennungsname: Win32 / Filecoder.TorrentLocker.C

    Datei 2
    SHA-1: BFF8090E21C020E989E4C36EBFE50B6C33DDC733 Erstellungsdatum: Dienstag, 7.
    Oktober, 00:40:23 2014
    Kampagnen-ID: main-12
    ESET- Erkennungsname : Win32 / Injector.DCIZ

    Datei 3
    SHA-1: EB7BF6B79CCA5FD6B73F32049560AE57C9988A70 Erstellungsdatum
    : Mi Aug 10 08:55:29 2016
    Kampagnen-ID: main-13
    ESET-Erkennungsname: Win32 / Filecoder.TorrentLocker.A

    AES-Verschlüsselungsschlüssel Der

    Initialisierungsvektor (IV) ist immer Null

    SHA-1 Beispiel: 2BF11BD7C946F36A690BD2DDB6623BF478E8F37B
    Verschlüsselungsschlüsseldaten C & C:
    4D78C23939EBDE78B5BAFCAB47D199169AF6821F3D276B5324DF9D79ECC7BAD4
    Chiffrierschlüssel Konfigurationsdatei:
    BA14569ABB28C1B53ED02F2255EC0EBC9C1AC04F8F044062FBDF08B5ACB65C54

    SHA-1 Beispiel: BFF8090E21C020E989E4C36EBFE50B6C33DDC733
    Chiffrierschlüssel C & C:
    4D78C23939EBDE78B5BAFCAB47D199169AF6821F3D276B5324DF9D79ECC7BAD4
    Chiffrierschlüssel Konfigurationsdatei:
    34A43BC9495064A464BCCF82B43D8F03273528FE1A497E55B23EFA7D8D3B8DAF

    SHA-1 Beispiel: EB7BF6B79CCA5FD6B73F32049560AE57C9988A70
    Chiffrierschlüssel C & C:
    BEABC25657C4D67F84D0E517A654F3663EA2F79793221AA9247486A7584E6F79
    Verschlüsselungsschlüssel der Konfigurationsdatei:
    3664D810C09ED7B2A0EC9CB29426C92D7EC3B9592A7A86AE7E51D1895778B94C

    Dateien mit den folgenden Erweiterungen können nicht verschlüsselt werden

    . exe,. DLL, .sys, .vdx, .vxd, .com, .msi, .scr, .cpl, .bat, .cmd, .lnk, .url, .log, .log2, .tmp,. ### ,. ini, .chm, .manifest, .inf, .html, .txt, .bmp, .ttf, .png, .ico, .gif, .mp3, .wav, .avi, .theme, .evtx, .folder, .kdmp.

    Der folgende öffentliche RSA-4096-Schlüssel wird zum Verschlüsseln des AES-Schlüssels in Main-9-Main-13-Kampagnen verwendet.

    PUBLIC KEY BEGIN ----- -----
    MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA0LrTxrnan3wlqkeCrO8j
    L / BlcjS3yOh / YZ9vH5uRw4RvHY86JpsKaJLQ1WajkY9bgO6w9an9l9dtJch70joD
    o + + aQfzpQIb1HUwrOmrxICO18zyhvkH vXBSuDmQBFvuPMu8g1R4cpo9TzR0XCSEn
    BjDBhNirSBRmfSjhWMhLMcrrAUJ986 ucLdjQtBrDyTIlYZ8 + / + H83T rbkBE2sLbY
    D7HSBtosPArg18hC6fgDJ2V4tADmLx / wk3k8JKeQ0OXbBqVbzWbYzODIJ / VibKNg
    mE278RS9KR3f 0P38 + / ztf81SH4ZK5kjqN6qLL0AyUfQpm7bOpQHSpwOdhA0i / 8M5
    lMzZj1wdfp3UDoPpAyH4fc6mpgt1OjN5Rj5PjQj / bEPM / Rz67LCdFY3LbI5rCyxm
    9V4UVTOJdAavByDUa8PKEY + XMKjEjTskDD4Io3tD 54rmr4 + + / + WPoRPlrQ Bj4o7I
    DSvrMGsnEudhcO7qMlQ5JszHDejk5QF8glsiWsCHVxmZqsHFNYxBKGgtvUxvokgv
    + yxo6twfC / hC1wJHhWofINDABxIYqgVOg4GJEs0gA1v8FByNg6pss2W / oNcYDuiZ
    7R / 9vHAUHzMBVNaXq9Rz5h61pLFjEpIrfzO8ctAq3 + wDdltyTbz40D7G4 + zPHV2t
    PW9R7I4fmgDQMM4SimN8NcUCAwEAAQ ==
    ----- END--

    Jetzt auch beliebt: