fuckunicorn | 7980ef30b9bed26a9823d3dd5746cdefe5d01de2b2eb2c5e17dbfd1fd52f62bf

General

Target

SecuriteInfo.com.Trojan.Encoder.10598.5942.6775.exe
Size

955KB
MD5

b226803ac5a68cd86ecb7c0c6c4e9d00
SHA1

110301b5f4eced3c0d6712f023d3e0212515bf99
SHA256

7980ef30b9bed26a9823d3dd5746cdefe5d01de2b2eb2c5e17dbfd1fd52f62bf
SHA512

7a333fb668c8a7fa67715703d16cf8ed296c553fa3aab7c861337a211c605d0b20f0c760a4bfb3b72561efe342472382ecf890fd5de3e51c0022038474516e79

Score

10^/10

fuckunicorn ransomware

Malware Config

Extracted

Path

C:\Users\Admin\Desktop\READ_IT.txt

Family

fuckunicorn

Ransom Note

La lunga serpe sul bastone di Asceplio si è ribellata, ed una nuova era sta per sopraggiungere! Questa è la vostra possibilità per redimervi dopo anni di peccati e soprusi. Sta a voi scegliere. Entro 3 giorni il pegno pagare dovrai o il fuoco di Prometeo cancellerà i vostri dati così come ha cancellato il potere degli Dei sugli uomini. Il pegno è di solamente 300 euros, da pagare con i Bitcoin al seguente indirizzo : 195naAM74WpLtGHsKp9azSsXWmBCaDscxJ dopo che pagato avrai, una email mandarci dovrai. [email protected] il codice di transazione sarà la prova. Dopo il pegno pagato riceverai la soluzione per spegnere il fuoco di Prometeo. Andare dalla polizia o chiamare tecnici a niente servirà, nessun essere umano aiutarti potrà.

Emails

[email protected]

Wallets

195naAM74WpLtGHsKp9azSsXWmBCaDscxJ

Signatures

FuckUnicorn
Simple Italian-language ransomware discovered in May 2020.
ransomware fuckunicorn

Modifies extensions of user files 2 IoCs

Ransomware generally changes the extension on encrypted files.

ransomware

description	ioc	Process
File renamed	C:\Users\Admin\Pictures\ApproveMount.png => C:\Users\Admin\Pictures\ApproveMount.png.fuckunicornhtrhrtjrjy	SecuriteInfo.com.Trojan.Encoder.10598.5942.6775.exe
File renamed	C:\Users\Admin\Pictures\ShowTrace.png => C:\Users\Admin\Pictures\ShowTrace.png.fuckunicornhtrhrtjrjy	SecuriteInfo.com.Trojan.Encoder.10598.5942.6775.exe

Sets desktop wallpaper using registry 2 TTPs 1 IoCs

ransomware

Defacement

T1491

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-1985363256-3005190890-1182679451-1000\Control Panel\Desktop\Wallpaper = "C:\\Admin\\ransom.jpg"	SecuriteInfo.com.Trojan.Encoder.10598.5942.6775.exe

Suspicious behavior: EnumeratesProcesses 1 IoCs

pid	Process
1812	SecuriteInfo.com.Trojan.Encoder.10598.5942.6775.exe

Suspicious behavior: RenamesItself 1 IoCs

pid	Process
1812	SecuriteInfo.com.Trojan.Encoder.10598.5942.6775.exe

Suspicious use of AdjustPrivilegeToken 1 IoCs

description	pid	Process
Token: SeDebugPrivilege	1812	SecuriteInfo.com.Trojan.Encoder.10598.5942.6775.exe

C:\Users\Admin\AppData\Local\Temp\SecuriteInfo.com.Trojan.Encoder.10598.5942.6775.exe
"C:\Users\Admin\AppData\Local\Temp\SecuriteInfo.com.Trojan.Encoder.10598.5942.6775.exe"
1⤵
- Modifies extensions of user files
- Sets desktop wallpaper using registry
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: RenamesItself
- Suspicious use of AdjustPrivilegeToken
PID:1812

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Modify Registry

1

T1112

Credential Access

Discovery

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Defacement

1

T1491

Replay Monitor

Loading Replay Monitor...

Downloads

memory/1812-0-0x0000000073300000-0x00000000739EE000-memory.dmp

Filesize
6.9MB

Download
memory/1812-1-0x0000000000460000-0x0000000000461000-memory.dmp

Filesize
4KB

Download
memory/1812-3-0x00000000052A0000-0x00000000052A1000-memory.dmp

Filesize
4KB

Download
memory/1812-4-0x0000000004E40000-0x0000000004E41000-memory.dmp

Filesize
4KB

Download
memory/1812-5-0x0000000004D80000-0x0000000004D81000-memory.dmp

Filesize
4KB

Download

Analysis

Sharing