RansomCoin är ett DFIR-verktyg designat för att extrahera kryptovalutaadresser och andra indikatorer på kompromettering (IoC) från ransomware-binärer. Verktyget är optimerat för snabb och effektiv analys med låga falska positiva resultat för kryptovalutaadresser, och kan användas för både statisk analys och dynamisk analys med Cuckoo-integrationer. Installationen kräver Python3 och specifika Linux-paket, och rekommenderas att utföras i en virtuell Linux-maskin som Lubuntu eller Kali Linux. RansomCoin inkluderar skript som coinlector.py för att identifiera olika kryptovalutaadresser, e-postadresser, URL:er och domäner, samt tempuscoin.py för att spåra tidsstämplade ransoms. eventcoin.py möjliggör integration med MISP för att skapa händelser baserade på de extraherade IoC:erna, vilket underlättar incidenthantering.