Overview

overview

10

Static

static

IMMUNI.bin.exe

windows7_x64

10

IMMUNI.bin.exe

windows10_x64

3

Resubmissions

27/05/2020, 14:40

200527-txwwm11vej 10

26/05/2020, 15:35

200526-8h87qpsrz2 6

25/05/2020, 13:03

200525-7xn38c1n6x 6

Analysis

  • max time kernel
    151s
  • max time network
    148s
  • platform
    windows7_x64
  • resource
    win7v200430
  • submitted
    27/05/2020, 14:40

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    IMMUNI.bin.exe

  • Size

    955KB

  • MD5

    b226803ac5a68cd86ecb7c0c6c4e9d00

  • SHA1

    110301b5f4eced3c0d6712f023d3e0212515bf99

  • SHA256

    7980ef30b9bed26a9823d3dd5746cdefe5d01de2b2eb2c5e17dbfd1fd52f62bf

  • SHA512

    7a333fb668c8a7fa67715703d16cf8ed296c553fa3aab7c861337a211c605d0b20f0c760a4bfb3b72561efe342472382ecf890fd5de3e51c0022038474516e79

Score
10/10
ransomwareevasionspywaretrojanfuckunicorn

Malware Config

Extracted

Path

C:\Users\Admin\Desktop\READ_IT.txt

Family

fuckunicorn

Ransom Note
La lunga serpe sul bastone di Asceplio si è ribellata, ed una nuova era sta per sopraggiungere! Questa è la vostra possibilità per redimervi dopo anni di peccati e soprusi. Sta a voi scegliere. Entro 3 giorni il pegno pagare dovrai o il fuoco di Prometeo cancellerà i vostri dati così come ha cancellato il potere degli Dei sugli uomini. Il pegno è di solamente 300 euros, da pagare con i Bitcoin al seguente indirizzo : 195naAM74WpLtGHsKp9azSsXWmBCaDscxJ dopo che pagato avrai, una email mandarci dovrai. [email protected] il codice di transazione sarà la prova. Dopo il pegno pagato riceverai la soluzione per spegnere il fuoco di Prometeo. Andare dalla polizia o chiamare tecnici a niente servirà, nessun essere umano aiutarti potrà.
Wallets

195naAM74WpLtGHsKp9azSsXWmBCaDscxJ

Signatures

  • Suspicious use of FindShellTrayWindow 1 IoCs
  • Modifies system certificate store 2 TTPs 2 IoCs
    evasionspywaretrojan
  • Sets desktop wallpaper using registry 2 TTPs 1 IoCs
    ransomware
  • Opens file in notepad (likely ransom note) 1 IoCs
    ransomware
  • FuckUnicorn

    Simple Italian-language ransomware discovered in May 2020.

    ransomwarefuckunicorn
  • Suspicious use of AdjustPrivilegeToken 1 IoCs
  • Suspicious behavior: EnumeratesProcesses 1 IoCs
  • Suspicious behavior: RenamesItself 1 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\IMMUNI.bin.exe
    "C:\Users\Admin\AppData\Local\Temp\IMMUNI.bin.exe"
    1⤵
    • Modifies system certificate store
    • Sets desktop wallpaper using registry
    • Suspicious use of AdjustPrivilegeToken
    • Suspicious behavior: EnumeratesProcesses
    • Suspicious behavior: RenamesItself
    PID:1388
  • C:\Windows\system32\NOTEPAD.EXE
    "C:\Windows\system32\NOTEPAD.EXE" C:\Users\Admin\Desktop\READ_IT.txt
    1⤵
    • Suspicious use of FindShellTrayWindow
    • Opens file in notepad (likely ransom note)
    PID:656

Network

MITRE ATT&CK Enterprise v6

Replay Monitor

Loading Replay Monitor...

Downloads

  • memory/1388-5-0x0000000000310000-0x0000000000321000-memory.dmp

    Filesize

    68KB

    Download