hakbit

General

Target

SyncApteka.bin
Size

128KB
Sample

210419-9crd845edj
MD5

9606a0bdc7a04dcf4d8625345c2875cd
SHA1

34c37511ef2105aedf55eda054e89210757f51ec
SHA256

aa3e530d4567c1511126029fac0562ba8aa4ead0a01aceea169ade3e38a37ea7
SHA512

64796dde9fe7791e166cecb622d7713ef3a6947e404919eaba27c532fdf3be799f8ead904402a5b9dfff27977813c77e1c86954801c7bc4a867265d6aa36a595

Score

10^/10

Malware Config

Extracted

Path

C:\Users\Admin\Desktop\RESTORE_FILES_INFO.txt

Family

hakbit

Ransom Note

Ваша система была зашифрована. Для того что бы получить доступ к Вашим файлам и расшифровать их Вам необходимо связаться с нами по адрессам [email protected] [email protected] (обращаем ваше внимание что могут возникнуть трудности по дохождению писем на протон с мейл.ру и яндекса) или телеграмма который мы Вам сообщим связавшись с вашими сотрудниками. Так же у нас есть данные от ваших баз данных, бекапов, телеграмы ваших сотрудников, личные данные ваших клиентов и доступы к платежным системам. Key Identifier: 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 Number of files that were processed is: 76

Emails

[email protected]

Extracted

Path

C:\Users\Admin\Desktop\RESTORE_FILES_INFO.txt

Family

hakbit

Ransom Note

Ваша система была зашифрована. Для того что бы получить доступ к Вашим файлам и расшифровать их Вам необходимо связаться с нами по адрессам [email protected] [email protected] (обращаем ваше внимание что могут возникнуть трудности по дохождению писем на протон с мейл.ру и яндекса) или телеграмма который мы Вам сообщим связавшись с вашими сотрудниками. Так же у нас есть данные от ваших баз данных, бекапов, телеграмы ваших сотрудников, личные данные ваших клиентов и доступы к платежным системам. Key Identifier: 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 Number of files that were processed is: 147

Emails

[email protected]

Targets

- Target
  
  SyncApteka.bin
- Size
  
  128KB
- MD5
  
  9606a0bdc7a04dcf4d8625345c2875cd
- SHA1
  
  34c37511ef2105aedf55eda054e89210757f51ec
- SHA256
  
  aa3e530d4567c1511126029fac0562ba8aa4ead0a01aceea169ade3e38a37ea7
- SHA512
  
  64796dde9fe7791e166cecb622d7713ef3a6947e404919eaba27c532fdf3be799f8ead904402a5b9dfff27977813c77e1c86954801c7bc4a867265d6aa36a595
Score

10^/10

hakbit discovery evasion ransomware
- Hakbit
  Ransomware which encrypts files using AES, first seen in November 2019.
  ransomware hakbit
- Downloads MZ/PE file
- Executes dropped EXE
- Modifies Windows Firewall
  evasion
- Modifies extensions of user files
  Ransomware generally changes the extension on encrypted files.
  ransomware
- Deletes itself
- Drops startup file
- Loads dropped DLL
- Modifies file permissions
  discovery
behavioral1 behavioral2