Overview

overview

10

Static

static

3519540638...8b.exe

windows7_x64

10

3519540638...8b.exe

windows10_x64

10

Analysis

  • max time kernel
    150s
  • max time network
    152s
  • platform
    windows7_x64
  • resource
    win7v20210410
  • submitted
    05-07-2021 06:20

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    35195406382becaa3866e042e17dc62dcf956b43ca05e8022565c4591f0da98b.exe

  • Size

    436KB

  • MD5

    8723362009a3762ce6e882fb99b107db

  • SHA1

    33669b86b841b69570246eafcf8b823f893d6763

  • SHA256

    35195406382becaa3866e042e17dc62dcf956b43ca05e8022565c4591f0da98b

  • SHA512

    55ae8195467ab77b27989c6fc677526cc5e2807565765a278e1311e9c805f35e7a316c20915ce8908f3933ae51df66892c10cf80ea11d1518e79488aaea6a2d6

Score
10/10
cerberfantominfinitylockxmrigevasionminerransomware

Malware Config

Extracted

Path

\??\c:\_R_E_A_D___T_H_I_S___GU86_.txt

Family

cerber

Ransom Note
Hi, I'am CRBR ENCRYPTOR ;) ----- ALL YOUR DOCUMENTS, PH0T0S, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED! ----- The only one way to decrypt your files is to receive the private key and decryption program. To receive the private key and decryption program go to any decrypted folder, inside there is the special file (*_R_E_A_D___T_H_I_S_*) with complete instructions how to decrypt your files. If you cannot find any (*_R_E_A_D___T_H_I_S_*) file at your PC, follow the instructions below: ----- 1. Download "Tor Browser" from https://www.torproject.org/ and install it. 2. In the "Tor Browser" open your personal page here: http://xpcx6erilkjced3j.onion/1A12-7D32-549E-0098-BAEC Note! This page is available via "Tor Browser" only. ----- Also you can use temporary addresses on your personal page without using "Tor Browser". ----- 1. http://xpcx6erilkjced3j.1n5mod.top/1A12-7D32-549E-0098-BAEC 2. http://xpcx6erilkjced3j.19kdeh.top/1A12-7D32-549E-0098-BAEC 3. http://xpcx6erilkjced3j.1mpsnr.top/1A12-7D32-549E-0098-BAEC 4. http://xpcx6erilkjced3j.18ey8e.top/1A12-7D32-549E-0098-BAEC 5. http://xpcx6erilkjced3j.17gcun.top/1A12-7D32-549E-0098-BAEC ----- Note! These are temporary addresses! They will be available for a limited amount of time! -----
URLs

http://xpcx6erilkjced3j.onion/1A12-7D32-549E-0098-BAEC

http://xpcx6erilkjced3j.1n5mod.top/1A12-7D32-549E-0098-BAEC

http://xpcx6erilkjced3j.19kdeh.top/1A12-7D32-549E-0098-BAEC

http://xpcx6erilkjced3j.1mpsnr.top/1A12-7D32-549E-0098-BAEC

http://xpcx6erilkjced3j.18ey8e.top/1A12-7D32-549E-0098-BAEC

http://xpcx6erilkjced3j.17gcun.top/1A12-7D32-549E-0098-BAEC

Extracted

Path

C:\Users\Admin\Desktop\_R_E_A_D___T_H_I_S___7ZXIDJ_.hta

Ransom Note
☑ English CRBR ENCRYPTOR Instructions ☑ Select your language English العربية 中文 Nederlands Français Deutsch Italiano 日本語 한국어 Polski Português Español Türkçe Can't yo cjy6kV u find the necessary files? Is the c c1kYrI ontent of your files not readable? It is normal be 21d cause the files' names and the data in your files have been encryp dqh ted by "CRBR Encryptor". It me 4 ans your files are NOT damage LeSpXMrC d! Your files are modified only. This modification is reversible. F in rom now it is not poss 2 ible to use your files until they will be decrypted. The only way to dec 50CTX1s rypt your files safely is to buy the special decryption software "CRBR Decryptor". Any attempts to rest 1HE3ZY ore your files with the thir sa4T d-party software will be fatal for your files! You can proc Egb1F8k3Oy eed with purchasing of the decryption softw RVz6RTf are at your personal page: Ple QtV ase wait... http://xpcx6erilkjced3j.1n5mod.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.19kdeh.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.1mpsnr.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.18ey8e.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.17gcun.top/1A12-7D32-549E-0098-BAEC If t KVq3T his page cannot be opened cli Ubu0gMmz ck here to get a new addr 8D7wJ ess of your personal page. If the addre VN ss of your personal page is the same as befo 0zYHO5i re after you tried to get a new one, you c S5HpiUTN an try to get a new address in one hour. At th Tpy is page you will receive the complete instr 0 uctions how to buy the decrypti 9 on software for restoring all your files. Also at this page you will be able to res WG1usOMnS5 tore any one file for free to be sure "CRBR Decryptor" will help you. If your per uOtOqO sonal page is not availa 1YNNQLy2 ble for a long period there is another way to open your personal page - insta 5do llation and use of Tor Browser: run your Inte b rnet browser (if you do not know what it is run the Internet Explorer); ent v8cT52L6 er or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER; wait for the site load FPg ing; on the site you will be offered to do WGtG wnload Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed; ru lkbUbuyy n Tor Browser; connect with the butt fquNfsNrY on "Connect" (if you use the English version); a normal Internet bro VH wser window will be opened after the initialization; type or copy the add gcteiKC ress http://xpcx6erilkjced3j.onion/1A12-7D32-549E-0098-BAEC in this browser address bar; pre rrPNu6Y ss ENTER; the site sho 8oWiX uld be loaded; if for some reason the site is not lo Vc1R93R2iN ading wait for a moment and try again. If you have any pr E56edAO oblems during installation or use of Tor Browser, please, visit https://www.youtube.com and type request in the searc xQ8 h bar "Install Tor Browser Windows" and you will find a lot of training videos about Tor Browser installation and use. Addit Ra9JUm7WdL ional information: You will fi jYxm7 nd the instru 8lTIMhW8 ctions ("*_R_E_A_D___T_H_I_S_*.hta") for re jo5BZbQ storing your files in any f Ca older with your enc bH rypted files. The instr negY4sz uctions "*_R_E_A_D___T_H_I_S_*.hta" in the f aMna older bUm7T s with your encry EPn pted files are not vir FljmguAvh uses! The instruc yHyQD tions "*_R_E_A_D___T_H_I_S_*.hta" will he Qm lp you to dec EnK rypt your files. Remembe RBPQSCr6 r! The worst si vYW5zjtgN tuation already happ g ened and now the future of your files de rrlb pends on your determ WIrb ination and speed of your actions. لا يمكنك العثور ع taiiMeg لى الملفات الضرورية؟ هل محتوى الملفات غير قابل للقراءة؟ هذا أمر طبيع pWAzK ي لأن أسماء الملفات والبيانات في الملفات قد تم تشفيرها بواسطة "CRBR Encryptor". وهذا يعني أن DBU2XnEyx الملفات الخاصة بك ليست تالفة! فقد تم تعديل ملفاتك فقط. ويمكن التراجع عن هذا. ومن الآن فإنه لا يكن استخدام الملفات الخاصة بك حتى يتم فك تشفيرها. الطريقة الوحي dfce دة لفك تشفير ملفاتك بأمان هو أن تشتري برنامج فك التشفير المتخصص "CRBR Decryptor". إن أية محاولات لاستعادة E8mW الملفات الخاصة بك بواسطة برامج من طرف ثالث سوف تكون مدمرة لملفاتك! يمكنك الشروع في شراء برنامج فك التشفير من صفحتك الشخصية: أرجو الإنتظار... http://xpcx6erilkjced3j.1n5mod.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.19kdeh.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.1mpsnr.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.18ey8e.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.17gcun.top/1A12-7D32-549E-0098-BAEC في حالة تعذر a8W فتح هذه الصفحة انقر هنا لإنشاء عنوان جديد لصفحتك الشخصية. في هذه الصفحة 54 سوف تتلقى تعليمات كاملة حول كيفية شراء برنامج فك التشفير لاستعادة جميع الملفات الخاصة بك. في هذه الص JMfR فحة أيضًا سوف تتمكن من استعادة ملف واحد بشكل مجاني للتأكد من أن "CRBR Decryptor" سوف يساعدك. إذا كانت صف S6E6tJ حتك الشخصية غير متاحة لفترة طويلة فإن ثمّة طريقة أخرى لفتح صفحتك الشخصية - تحميل واستخدام متصفح Tor: قم بتشغيل متصفح الإنترنت الخاص بك (إذا كنت لا تعرف ما هو قم بتشغيل إنترنت إكسبلورر); قم بكتابة أو نسخ العنوان https://www.torproject.org/download/download-easy.html.en إلى شريط العنوان في المستعرض الخاص بك ثم اضغط ENTER; انتظر لتحميل الموقع; سوف يعرض عليك الموقع تحميل متصفح Tor. قم بتحميله وتشغيله، واتبع تعليمات التثبيت، وانتظر حتى اكتمال التثبيت; قم بتشغيل متصفح Tor; اضغط على الزر "Connect" (إذا كنت تستخدم النسخة الإنجليزية); سوف تُفتح نافذة متصفح الإنترنت العادي بعد البدء; قم بكتابة أو نسخ العنوان http://xpcx6erilkjced3j.onion/1A12-7D32-549E-0098-BAEC في شريط العنوان في المتصفح; اضغط ENTER; يجب أن يتم تحميل الموقع؛ إذا لم يتم تحميل الموقع لأي سبب، انتظر للحظة وحاول مرة أخرى. إذا كان لديك أية مشكلات أثناء عملية التثبيت أو استخدام متصفح Tor، يُرجى زيارة https://www.youtube.com واكتب الطلب "install tor browser windows" أو "تثبيت نوافذ متصفح Tor" في شريط البحث، وسوف تجد الكثير من أشرطة الفيديو للتدريب حول تثبيت متصفح Tor واستخدامه. معلومات إض NXof افية: سوف تجد hVgKifJX إرشادات استعادة الملفات الخاصة بك ("*_R_E_A_D___T_H_I_S_*") في أي مجلد مع ملفاتك المشفرة. الإرشادات ("*_RE bh9y2wD AD_THIS_FILE_*") الموجودة في المجلدات مع ملفاتك المشفرة ليست فيروسات والإرشادات ("*_R_E_A_D___T_H_I_S_*") سوف تساعدك على فك تشفير الملفات الخاصة بك. تذكر أن أسوأ موقف قد حدث بال x فعل، والآن مستقبل ملفاتك يعتمد على عزيمتك وسرعة الإجراءات الخاصة بك. 您找不到所需 GiOja1 的文件? 您文件的内容无法阅读? 这是正常的,因 BOZzP 为您文件的文件名和数据已经被“CRBR Encryptor”加密了。 这意味着您 lRHr 的文件并没有损坏!您的文件只是被修改了,这个修改是可逆的,解密之前您无法使用您的文件。 安全解密您文件 KoMv 的唯一方式是购买特别的解密软件“CRBR Decryptor”。 任何使用第三方 WDHY 软件恢复您文件的方式对您的文件来说都将是致命的! 您可以在您的个人页面上购买解密软件: 请稍候... http://xpcx6erilkjced3j.1n5mod.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.19kdeh.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.1mpsnr.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.18ey8e.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.17gcun.top/1A12-7D32-549E-0098-BAEC 如果这个 2tZ 页面无法打开,请 点击这里 生成您个人页面的新地址。 您将在这个页面上 oG9 看到如何购买解密软件以恢复您的文件。 您可以在这个页 N 面使用“CRBR Decryptor”免费恢复任何文件。 如果您的个人页面长 hPq5YSl 期不可用,有其他方法可以打开您的个人页面 - 安装并使用 Tor 浏览器: 使用您的上网浏览器(如果您不知道使用 Internet Explorer 的话); 在浏览器的地址栏输入或复制地址 https://www.torproject.org/download/download-easy.html.en 并按 ENTER 键; 等待站点加载; 您将在站点上下载 Tor 浏览器;下载并运行它,按照安装指南进行操作,等待直至安装完成; 运行 Tor 浏览器; 使用“Connect”按钮进行连接(如果您使用英文版); 初始化之后将打开正常的上网浏览器窗口; 在浏览器地址栏中输入或复制地址 http://xpcx6erilkjced3j.onion/1A12-7D32-549E-0098-BAEC 按 ENTER 键; 该站点将加载;如果由于某些原因等待一会儿后没有加载,请重试。 如果在安装期间或 wXsFbaLiI3 使用 Tor 浏览器期间有任何问题,请访问 https://www.baidu.com 并在搜索栏中输入“怎么安装 Tor 浏览器”,您将找到有关如何安装洋葱 Tor 浏览器的说明和教程。 附加 OgeR 信息: 您将在任何带 Jt5N4TQq 有加密文件的文件夹中找到恢复您文件(“*_R_E_A_D___T_H_I_S_*.hta”)的说明。 带有加密 Yt 文件的文件夹中的(“*_R_E_A_D___T_H_I_S_*.hta”)说明不是病毒,(“*_R_E_A_D___T_H_I_S_*.hta”)说明将帮助您解密您的文件。 请记住,最坏的 lm9eGTOTl 情况都发生过了,您的文件还能不能用取决于您的决定和反应速度。 Kunt u de nodige files niet vinden? Is de inhoud van uw bestanden niet leesbaar? Het is gewoonlijk omdat de bestandsnamen en de gegevens in uw bestanden zijn versleuteld door “CRBR Encryptor”. Het betekent dat uw bestanden NIET beschadigd zijn! Uw bestanden zijn alleen gewijzigd. Deze wijziging is omkeerbaar. Vanaf nu is het niet mogelijk uw bestanden te gebruiken totdat ze ontsleuteld zijn. De enige manier om uw bestanden veilig te ontsleutelen is door de speciale ontsleutel-software “CRBR Decryptor” te kopen. Elke poging om uw bestanden te herstellen met software van een derde partij zal fataal zijn voor uw bestanden! U kunt op uw persoonlijke pagina de ontsleutel-software kopen: Even geduld aub... http://xpcx6erilkjced3j.1n5mod.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.19kdeh.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.1mpsnr.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.18ey8e.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.17gcun.top/1A12-7D32-549E-0098-BAEC Als deze pagina niet geopend kan worden klik dan hier om een nieuw adres aan uw persoonlijke pagina toe te voegen. Op deze pagina zult u de complete instructies ontvangen hoe u de ontsleutel-software kunt kopen om al uw bestanden te herstellen. Op deze pagina kunt u ook één file gratis herstellen om u ervan te verzekeren dat “CRBR Decryptor” u zal helpen. Als uw persoonlijke pagina langere tijd niet beschikbaar is, is er een andere manier om uw persoonlijke pagina te openen – het installeren en gebruiken van Tor Browser: start uw intern 7 et browser (als u niet weet welke dat is, start dan Internet Explorer); voer het adr 1NJ2rqydZ es in of kopieer het adres https://www.torproject.org/download/download-easy.html.en in de adresbalk van uw browser en druk op ENTER; wacht totdat de site laad h1wqcZgo t; op de site word 5Y t u aangeboden om de Tor Browser te laden; downloadt het en voer het uit, volg de installatie instructies, en wacht totdat de installatie compleet is; voer Tor Brow j ser uit; maak verbinding m SDZbUSmg6E et de knop “Connect” (als u de Engelse versie gebruikt); een normale Intern Xr5p8IvBJ et browser zal openen na de installatie; typ of kopieer het a eXQyx dres http://xpcx6erilkjced3j.onion/1A12-7D32-549E-0098-BAEC in de adresbalk van uw browser; druk EN dPoCxb56F TER; de site zou moeten la gjk den; als om enige reden de site niet laadt, wacht dan even en probeer opnieuw. Indien uw problemen heeft tijdens de installatie of het gebruik van Tor Browser, ga dan naar https://www.youtube.com en typ in de zoekbalk “install tor browser windows” en u zult een heleboel training video’s vinden over de installatie en het gebruik van Tor Browser. Aanvullende informatie: U vindt de instructies om uw bestanden te herstellen (“*_R_E_A_D___T_H_I_S_*.hta”) in elke folder met uw versleutelde bestanden. De instructies (“*_R_E_A_D___T_H_I_S_*.hta”) in de folders met uw versleutelde bestanden zijn geen virussen, de instructies (“*_R_E_A_D___T_H_I_S_*.hta”) zal u helpen uw bestanden te ontsleutelen. Denk eraan, het ergste is al gebeurd en de toekomst van uw bestanden hangt af van uw vastberadenheid en de snelheid van uw acties. Vous ne trouvez pas les fic IZdXIvgC hiers necessaires? Le contenu de vos fichiers n’est pas lisible? C’est normal car les noms d Xy es fichiers et des donnees dans vos fichiers ont ete cryptes par «CRBR Encryptor». Cela signifie que vos fich IQu iers ne sont PAS endommages! Vos fichiers sont seulement modifies. Cette modification est reversible. A partir de maintenant, il n’est plus possible d’utiliser vos fichiers jusqu'a ce qu’ils soient decryptes. La seule facon de dec wLEJKGBNK rypter vos fichiers en toute securite est d’acheter le logiciel de decryptage special «CRBR Decryptor». Toute tentative visant a rest nD8v6FsK aurer vos fichiers avec le logiciel tiers sera fatale pour vos fichiers! Vous pouvez proceder a l’achat du logiciel de decryptage sur vot VMb re page personnelle: S'il vous plaît, att 0n956xr endez... http://xpcx6erilkjced3j.1n5mod.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.19kdeh.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.1mpsnr.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.18ey8e.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.17gcun.top/1A12-7D32-549E-0098-BAEC Si vous ne pouvez pas ouvrir cette page cliquez ici pour generer une nouvelle adresse pour votre page personnelle. A cette page, vous recevrez les instructions comple B2ySBFF tes sur la facon d'acheter le logiciel de decryptage pour la restauration de tous vos fichiers. Egalement a cette page, vous serez en mesure de restaure XHPnxLT r n’importe quel fichier gratuitement pour etre sur que «CRBR Decryptor» vous aidera. Si votre page personn EbWUPv5 elle n’est pas disponible pendant une longue periode il y a une autre facon d’ouvrir votre page personnelle - installation et utilisation de Tor Browser: executez votre navigateur Internet (si vous ne savez pas ce que c’est, lancez Internet Explorer); saisissez ou copiez l’adresse https://www.torproject.org/download/download-easy.html.en dans la barre d’adresses de votre navigateur et appuyez sur ENTREE; attendez que le site charge; sur le site, il vous sera propose de telecharger Tor Browser; Telechargez et executez-le, suivez les instructions d’installation, attendez que l’installation se termine; lancez Tor Browser; connectez-vous avec le bouton «Connect» (si vous utilisez la version anglaise); une fenetre du navigateur Internet normale sera ouverte apres l’initialisation; tapez ou copiez l’adresse http://xpcx6erilkjced3j.onion/1A12-7D32-549E-0098-BAEC dans cette barre d’adresse de navigateur; appuyez sur ENTREE; le site doit etre charge
URLs

http://xpcx6erilkjced3j.1n5mod.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.19kdeh.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.1mpsnr.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.18ey8e.top/1A12-7D32-549E-0098-BAEChttp://xpcx6erilkjced3j.17gcun.top/1A12-7D32-549E-0098-BAEC

http://xpcx6erilkjced3j.onion/1A12-7D32-549E-0098-BAEC

https://www.baidu.com

Signatures

  • Cerber

    Cerber is a widely used ransomware-as-a-service (RaaS), first seen in 2017.

    ransomwarecerber
  • Fantom

    Ransomware which hides encryption process behind fake Windows Update screen.

    ransomwarefantom
  • InfinityLock Ransomware

    Also known as InfinityCrypt. Based on the open-source HiddenTear ransomware.

    ransomwareinfinitylock
  • xmrig

    XMRig is a high performance, open source, cross platform CPU/GPU miner.

    minerxmrig
  • Blocklisted process makes network request 6 IoCs
  • Disables Task Manager via registry modification
    evasion
  • Downloads MZ/PE file
  • Executes dropped EXE 5 IoCs
  • Modifies Windows Firewall 1 TTPs
    evasion
  • Modifies extensions of user files 4 IoCs

    Ransomware generally changes the extension on encrypted files.

    ransomware
  • Drops startup file 1 IoCs
  • Loads dropped DLL 7 IoCs
  • Enumerates connected drives 3 TTPs 24 IoCs

    Attempts to read the root path of hard drives other than the default C: drive.

  • Drops file in System32 directory 42 IoCs
  • Sets desktop wallpaper using registry 2 TTPs 1 IoCs
    ransomware
  • Drops file in Program Files directory 64 IoCs
  • Drops file in Windows directory 64 IoCs
  • Enumerates physical storage devices 1 TTPs

    Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

  • Checks processor information in registry 2 TTPs 2 IoCs

    Processor information is often read in order to detect sandboxing environments.

  • Modifies Internet Explorer settings 1 TTPs 1 IoCs
    adwarespyware
  • Modifies system certificate store 2 TTPs 3 IoCs
    evasionspywaretrojan
  • Opens file in notepad (likely ransom note) 1 IoCs
    ransomware
  • Suspicious behavior: EnumeratesProcesses 64 IoCs
  • Suspicious use of AdjustPrivilegeToken 4 IoCs
  • Suspicious use of UnmapMainImage 1 IoCs
  • Suspicious use of WriteProcessMemory 44 IoCs

Processes

  • C:\Windows\Explorer.EXE
    C:\Windows\Explorer.EXE
    1⤵
      PID:1256
      • C:\Users\Admin\AppData\Local\Temp\35195406382becaa3866e042e17dc62dcf956b43ca05e8022565c4591f0da98b.exe
        "C:\Users\Admin\AppData\Local\Temp\35195406382becaa3866e042e17dc62dcf956b43ca05e8022565c4591f0da98b.exe"
        2⤵
        • Loads dropped DLL
        • Drops file in System32 directory
        • Suspicious behavior: EnumeratesProcesses
        • Suspicious use of WriteProcessMemory
        PID:2004
        • C:\Windows\SysWOW64\Fan.exe
          C:\Windows\System32\Fan.exe
          3⤵
          • Executes dropped EXE
          • Loads dropped DLL
          • Drops file in Program Files directory
          • Suspicious use of AdjustPrivilegeToken
          • Suspicious use of WriteProcessMemory
          PID:760
          • C:\Users\Admin\AppData\Local\Temp\WindowsUpdate.exe
            "C:\Users\Admin\AppData\Local\Temp\WindowsUpdate.exe"
            4⤵
            • Executes dropped EXE
            PID:1680
        • C:\Windows\SysWOW64\Cer.exe
          C:\Windows\System32\Cer.exe
          3⤵
          • Executes dropped EXE
          • Loads dropped DLL
          • Enumerates connected drives
          • Drops file in System32 directory
          • Sets desktop wallpaper using registry
          • Drops file in Windows directory
          • Suspicious use of AdjustPrivilegeToken
          • Suspicious use of UnmapMainImage
          • Suspicious use of WriteProcessMemory
          PID:1684
          • C:\Windows\SysWOW64\netsh.exe
            C:\Windows\system32\netsh.exe advfirewall set allprofiles state on
            4⤵
              PID:984
            • C:\Windows\SysWOW64\netsh.exe
              C:\Windows\system32\netsh.exe advfirewall reset
              4⤵
                PID:1996
              • C:\Windows\SysWOW64\mshta.exe
                "C:\Windows\SysWOW64\mshta.exe" "C:\Users\Admin\Desktop\_R_E_A_D___T_H_I_S___7ZXIDJ_.hta"
                4⤵
                • Blocklisted process makes network request
                • Modifies Internet Explorer settings
                • Modifies system certificate store
                PID:1888
              • C:\Windows\SysWOW64\NOTEPAD.EXE
                "C:\Windows\system32\NOTEPAD.EXE" C:\Users\Admin\Desktop\_R_E_A_D___T_H_I_S___B1ST_.txt
                4⤵
                • Opens file in notepad (likely ransom note)
                PID:436
              • C:\Windows\SysWOW64\cmd.exe
                "C:\Windows\system32\cmd.exe" /d /c taskkill /f /im "C" > NUL & ping -n 1 127.0.0.1 > NUL & del "C" > NUL && exit
                4⤵
                  PID:1476
              • C:\Windows\SysWOW64\Infinite.exe
                C:\Windows\System32\Infinite.exe
                3⤵
                • Executes dropped EXE
                • Modifies extensions of user files
                • Drops file in Program Files directory
                • Checks processor information in registry
                • Suspicious use of AdjustPrivilegeToken
                PID:536
              • C:\Windows\SysWOW64\Deria.exe
                C:\Windows\System32\Deria.exe
                3⤵
                • Executes dropped EXE
                • Modifies extensions of user files
                • Drops startup file
                • Suspicious behavior: EnumeratesProcesses
                • Suspicious use of AdjustPrivilegeToken
                PID:1468
          • C:\Windows\explorer.exe
            explorer.exe
            1⤵
              PID:1976

            Network

            MITRE ATT&CK Enterprise v6

            Replay Monitor

            Loading Replay Monitor...

            Downloads

            • memory/536-162-0x0000000004F65000-0x0000000004F76000-memory.dmp

              Filesize

              68KB

              Download

            • memory/536-87-0x00000000001C0000-0x00000000001C1000-memory.dmp

              Filesize

              4KB

              Download

            • memory/536-95-0x0000000004F60000-0x0000000004F61000-memory.dmp

              Filesize

              4KB

              Download

            • memory/760-74-0x0000000004864000-0x0000000004866000-memory.dmp

              Filesize

              8KB

              Download

            • memory/760-75-0x00000000020A0000-0x00000000020A1000-memory.dmp

              Filesize

              4KB

              Download

            • memory/760-116-0x000000000486A000-0x000000000487B000-memory.dmp

              Filesize

              68KB

              Download

            • memory/760-64-0x00000000007F0000-0x000000000081C000-memory.dmp

              Filesize

              176KB

              Download

            • memory/760-65-0x0000000002060000-0x000000000208B000-memory.dmp

              Filesize

              172KB

              Download

            • memory/760-69-0x0000000004861000-0x0000000004862000-memory.dmp

              Filesize

              4KB

              Download

            • memory/760-70-0x0000000004862000-0x0000000004863000-memory.dmp

              Filesize

              4KB

              Download

            • memory/760-73-0x0000000004863000-0x0000000004864000-memory.dmp

              Filesize

              4KB

              Download

            • memory/760-109-0x0000000002300000-0x0000000002309000-memory.dmp

              Filesize

              36KB

              Download

            • memory/1468-96-0x0000000004D20000-0x0000000004D21000-memory.dmp

              Filesize

              4KB

              Download

            • memory/1468-93-0x0000000001260000-0x0000000001261000-memory.dmp

              Filesize

              4KB

              Download

            • memory/1468-98-0x0000000004D36000-0x0000000004D37000-memory.dmp

              Filesize

              4KB

              Download

            • memory/1468-97-0x0000000004D25000-0x0000000004D36000-memory.dmp

              Filesize

              68KB

              Download

            • memory/1680-118-0x000000001B2E6000-0x000000001B305000-memory.dmp

              Filesize

              124KB

              Download

            • memory/1680-114-0x0000000000810000-0x0000000000811000-memory.dmp

              Filesize

              4KB

              Download

            • memory/1680-117-0x000000001B2E0000-0x000000001B2E2000-memory.dmp

              Filesize

              8KB

              Download

            • memory/1684-78-0x0000000000400000-0x0000000000450000-memory.dmp

              Filesize

              320KB

              Download

            • memory/1684-77-0x00000000001A0000-0x00000000001D1000-memory.dmp

              Filesize

              196KB

              Download

            • memory/2004-60-0x00000000765F1000-0x00000000765F3000-memory.dmp

              Filesize

              8KB

              Download