Analysis

  • max time kernel
    110s
  • max time network
    116s
  • platform
    windows10_x64
  • resource
    win10v20210410
  • submitted
    26-07-2021 12:57

General

  • Target

    2f72425b28c03245758d9778b9f637ac981f1ec3df591162f69949c466bfb19c.sample.exe

  • Size

    191KB

  • MD5

    965d3b5a69778fb98336811099866921

  • SHA1

    34293ddd9c4f8b2239e288bf7c3680743bc23eb3

  • SHA256

    2f72425b28c03245758d9778b9f637ac981f1ec3df591162f69949c466bfb19c

  • SHA512

    ff8f648702d53716bbf4d40f1e3097a288e0665614543fb21fca942bd12c6105023d9bddb99761b11ae2b4ec3257258be2ae995487225cdcd49955255d651b24

Malware Config

Extracted

Path

\??\c:\_R_E_A_D___T_H_I_S___DH31LD_.txt

Family

cerber

Ransom Note
Hi, I'am CRBR ENCRYPTOR ;) ----- ALL YOUR DOCUMENTS, PH0T0S, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED! ----- The only one way to decrypt your files is to receive the private key and decryption program. To receive the private key and decryption program go to any decrypted folder, inside there is the special file (*_R_E_A_D___T_H_I_S_*) with complete instructions how to decrypt your files. If you cannot find any (*_R_E_A_D___T_H_I_S_*) file at your PC, follow the instructions below: ----- 1. Download "Tor Browser" from https://www.torproject.org/ and install it. 2. In the "Tor Browser" open your personal page here: http://xpcx6erilkjced3j.onion/CDFC-ECDD-6DF1-0006-4C5B Note! This page is available via "Tor Browser" only. ----- Also you can use temporary addresses on your personal page without using "Tor Browser". ----- 1. http://xpcx6erilkjced3j.tor2web.org/CDFC-ECDD-6DF1-0006-4C5B 2. http://xpcx6erilkjced3j.onion.link/CDFC-ECDD-6DF1-0006-4C5B 3. http://xpcx6erilkjced3j.onion.nu/CDFC-ECDD-6DF1-0006-4C5B 4. http://xpcx6erilkjced3j.onion.cab/CDFC-ECDD-6DF1-0006-4C5B 5. http://xpcx6erilkjced3j.onion.to/CDFC-ECDD-6DF1-0006-4C5B ----- Note! These are temporary addresses! They will be available for a limited amount of time! -----
URLs

http://xpcx6erilkjced3j.onion/CDFC-ECDD-6DF1-0006-4C5B

http://xpcx6erilkjced3j.tor2web.org/CDFC-ECDD-6DF1-0006-4C5B

http://xpcx6erilkjced3j.onion.link/CDFC-ECDD-6DF1-0006-4C5B

http://xpcx6erilkjced3j.onion.nu/CDFC-ECDD-6DF1-0006-4C5B

http://xpcx6erilkjced3j.onion.cab/CDFC-ECDD-6DF1-0006-4C5B

http://xpcx6erilkjced3j.onion.to/CDFC-ECDD-6DF1-0006-4C5B

Extracted

Path

C:\Users\Admin\Desktop\_R_E_A_D___T_H_I_S___0Z1C2HLD_.hta

Ransom Note
☑ English CRBR ENCRYPTOR Instructions ☑ Select your language English العربية 中文 Nederlands Français Deutsch Italiano 日本語 한국어 Polski Português Español Türkçe Can't yo j u find the necessary files? Is the c iNG4d ontent of your files not readable? It is normal be rN cause the files' names and the data in your files have been encryp KguPwtWXEs ted by "CRBR Encryptor". It me ACCmp8Lp ans your files are NOT damage tnp d! Your files are modified only. This modification is reversible. F YhrY9 rom now it is not poss 5gOIgnkf ible to use your files until they will be decrypted. The only way to dec 6 rypt your files safely is to buy the special decryption software "CRBR Decryptor". Any attempts to rest bYPTU ore your files with the thir br9kAaxce d-party software will be fatal for your files! You can proc 3B eed with purchasing of the decryption softw WzBDRbsMO are at your personal page: Ple q2rMws4U ase wait... http://xpcx6erilkjced3j.tor2web.org/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.link/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.nu/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.cab/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.to/CDFC-ECDD-6DF1-0006-4C5B If t 0TjzHvig86 his page cannot be opened cli 5tFAnJRn4K ck here to get a new addr oDi ess of your personal page. If the addre Y ss of your personal page is the same as befo sldxht re after you tried to get a new one, you c 0o1Yjg9PH an try to get a new address in one hour. At th cbriME is page you will receive the complete instr WdzHS5eY uctions how to buy the decrypti Y40kE on software for restoring all your files. Also at this page you will be able to res vKL9OYVmT tore any one file for free to be sure "CRBR Decryptor" will help you. If your per zX2p0938oP sonal page is not availa y ble for a long period there is another way to open your personal page - insta YY9J65r llation and use of Tor Browser: run your Inte CZDTauh rnet browser (if you do not know what it is run the Internet Explorer); ent VSI67XkD6b er or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER; wait for the site load jUAA ing; on the site you will be offered to do b7aHwgTR wnload Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed; ru 78qIuL2 n Tor Browser; connect with the butt fN39NXS on "Connect" (if you use the English version); a normal Internet bro AzaEAoT4R wser window will be opened after the initialization; type or copy the add S ress http://xpcx6erilkjced3j.onion/CDFC-ECDD-6DF1-0006-4C5B in this browser address bar; pre hYfQ2d1 ss ENTER; the site sho ctkXTu uld be loaded; if for some reason the site is not lo T ading wait for a moment and try again. If you have any pr vpfyP oblems during installation or use of Tor Browser, please, visit https://www.youtube.com and type request in the searc ig2rjTl h bar "Install Tor Browser Windows" and you will find a lot of training videos about Tor Browser installation and use. Addit G6rw3CMky6 ional information: You will fi iwvpkx6SU nd the instru H ctions ("*_R_E_A_D___T_H_I_S_*.hta") for re zFAPVPQ5bK storing your files in any f 13ElsTV2 older with your enc yxdhc rypted files. The instr SJvX6uIT uctions "*_R_E_A_D___T_H_I_S_*.hta" in the f uMa9JasE older GO1tK7S s with your encry R9aWqAU pted files are not vir SWk uses! The instruc M6b9Ayh tions "*_R_E_A_D___T_H_I_S_*.hta" will he ByhzU8K lp you to dec 4L4m rypt your files. Remembe ySwIQv r! The worst si UTxtb tuation already happ mKw2ylS ened and now the future of your files de i8aCXt pends on your determ Xpswi ination and speed of your actions. لا يمكنك العثور ع wv81KNj لى الملفات الضرورية؟ هل محتوى الملفات غير قابل للقراءة؟ هذا أمر طبيع 2r7NVxNx5T ي لأن أسماء الملفات والبيانات في الملفات قد تم تشفيرها بواسطة "CRBR Encryptor". وهذا يعني أن m9Zv6A4Dc الملفات الخاصة بك ليست تالفة! فقد تم تعديل ملفاتك فقط. ويمكن التراجع عن هذا. ومن الآن فإنه لا يكن استخدام الملفات الخاصة بك حتى يتم فك تشفيرها. الطريقة الوحي uXhU4tAAw8 دة لفك تشفير ملفاتك بأمان هو أن تشتري برنامج فك التشفير المتخصص "CRBR Decryptor". إن أية محاولات لاستعادة VChSkd1vL الملفات الخاصة بك بواسطة برامج من طرف ثالث سوف تكون مدمرة لملفاتك! يمكنك الشروع في شراء برنامج فك التشفير من صفحتك الشخصية: أرجو الإنتظار... http://xpcx6erilkjced3j.tor2web.org/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.link/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.nu/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.cab/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.to/CDFC-ECDD-6DF1-0006-4C5B في حالة تعذر oECPlWew فتح هذه الصفحة انقر هنا لإنشاء عنوان جديد لصفحتك الشخصية. في هذه الصفحة 8GSyfQL8LC سوف تتلقى تعليمات كاملة حول كيفية شراء برنامج فك التشفير لاستعادة جميع الملفات الخاصة بك. في هذه الص IjLnO09 فحة أيضًا سوف تتمكن من استعادة ملف واحد بشكل مجاني للتأكد من أن "CRBR Decryptor" سوف يساعدك. إذا كانت صف PWn3IFxc8 حتك الشخصية غير متاحة لفترة طويلة فإن ثمّة طريقة أخرى لفتح صفحتك الشخصية - تحميل واستخدام متصفح Tor: قم بتشغيل متصفح الإنترنت الخاص بك (إذا كنت لا تعرف ما هو قم بتشغيل إنترنت إكسبلورر); قم بكتابة أو نسخ العنوان https://www.torproject.org/download/download-easy.html.en إلى شريط العنوان في المستعرض الخاص بك ثم اضغط ENTER; انتظر لتحميل الموقع; سوف يعرض عليك الموقع تحميل متصفح Tor. قم بتحميله وتشغيله، واتبع تعليمات التثبيت، وانتظر حتى اكتمال التثبيت; قم بتشغيل متصفح Tor; اضغط على الزر "Connect" (إذا كنت تستخدم النسخة الإنجليزية); سوف تُفتح نافذة متصفح الإنترنت العادي بعد البدء; قم بكتابة أو نسخ العنوان http://xpcx6erilkjced3j.onion/CDFC-ECDD-6DF1-0006-4C5B في شريط العنوان في المتصفح; اضغط ENTER; يجب أن يتم تحميل الموقع؛ إذا لم يتم تحميل الموقع لأي سبب، انتظر للحظة وحاول مرة أخرى. إذا كان لديك أية مشكلات أثناء عملية التثبيت أو استخدام متصفح Tor، يُرجى زيارة https://www.youtube.com واكتب الطلب "install tor browser windows" أو "تثبيت نوافذ متصفح Tor" في شريط البحث، وسوف تجد الكثير من أشرطة الفيديو للتدريب حول تثبيت متصفح Tor واستخدامه. معلومات إض 8znaU افية: سوف تجد wGF3kysR إرشادات استعادة الملفات الخاصة بك ("*_R_E_A_D___T_H_I_S_*") في أي مجلد مع ملفاتك المشفرة. الإرشادات ("*_RE 0KEGc7QwR AD_THIS_FILE_*") الموجودة في المجلدات مع ملفاتك المشفرة ليست فيروسات والإرشادات ("*_R_E_A_D___T_H_I_S_*") سوف تساعدك على فك تشفير الملفات الخاصة بك. تذكر أن أسوأ موقف قد حدث بال 8uTptkEC64 فعل، والآن مستقبل ملفاتك يعتمد على عزيمتك وسرعة الإجراءات الخاصة بك. 您找不到所需 IZ9hV 的文件? 您文件的内容无法阅读? 这是正常的,因 mzpPDrxcP 为您文件的文件名和数据已经被“CRBR Encryptor”加密了。 这意味着您 3t 的文件并没有损坏!您的文件只是被修改了,这个修改是可逆的,解密之前您无法使用您的文件。 安全解密您文件 PeCCbA7IJ 的唯一方式是购买特别的解密软件“CRBR Decryptor”。 任何使用第三方 Obpi 软件恢复您文件的方式对您的文件来说都将是致命的! 您可以在您的个人页面上购买解密软件: 请稍候... http://xpcx6erilkjced3j.tor2web.org/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.link/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.nu/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.cab/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.to/CDFC-ECDD-6DF1-0006-4C5B 如果这个 JfZ 页面无法打开,请 点击这里 生成您个人页面的新地址。 您将在这个页面上 j 看到如何购买解密软件以恢复您的文件。 您可以在这个页 Lfv3Z2mK 面使用“CRBR Decryptor”免费恢复任何文件。 如果您的个人页面长 XzGF 期不可用,有其他方法可以打开您的个人页面 - 安装并使用 Tor 浏览器: 使用您的上网浏览器(如果您不知道使用 Internet Explorer 的话); 在浏览器的地址栏输入或复制地址 https://www.torproject.org/download/download-easy.html.en 并按 ENTER 键; 等待站点加载; 您将在站点上下载 Tor 浏览器;下载并运行它,按照安装指南进行操作,等待直至安装完成; 运行 Tor 浏览器; 使用“Connect”按钮进行连接(如果您使用英文版); 初始化之后将打开正常的上网浏览器窗口; 在浏览器地址栏中输入或复制地址 http://xpcx6erilkjced3j.onion/CDFC-ECDD-6DF1-0006-4C5B 按 ENTER 键; 该站点将加载;如果由于某些原因等待一会儿后没有加载,请重试。 如果在安装期间或 ziM 使用 Tor 浏览器期间有任何问题,请访问 https://www.baidu.com 并在搜索栏中输入“怎么安装 Tor 浏览器”,您将找到有关如何安装洋葱 Tor 浏览器的说明和教程。 附加 HvhWZt8ma 信息: 您将在任何带 25v0Re 有加密文件的文件夹中找到恢复您文件(“*_R_E_A_D___T_H_I_S_*.hta”)的说明。 带有加密 eri 文件的文件夹中的(“*_R_E_A_D___T_H_I_S_*.hta”)说明不是病毒,(“*_R_E_A_D___T_H_I_S_*.hta”)说明将帮助您解密您的文件。 请记住,最坏的 EuwG 情况都发生过了,您的文件还能不能用取决于您的决定和反应速度。 Kunt u de nodige files niet vinden? Is de inhoud van uw bestanden niet leesbaar? Het is gewoonlijk omdat de bestandsnamen en de gegevens in uw bestanden zijn versleuteld door “CRBR Encryptor”. Het betekent dat uw bestanden NIET beschadigd zijn! Uw bestanden zijn alleen gewijzigd. Deze wijziging is omkeerbaar. Vanaf nu is het niet mogelijk uw bestanden te gebruiken totdat ze ontsleuteld zijn. De enige manier om uw bestanden veilig te ontsleutelen is door de speciale ontsleutel-software “CRBR Decryptor” te kopen. Elke poging om uw bestanden te herstellen met software van een derde partij zal fataal zijn voor uw bestanden! U kunt op uw persoonlijke pagina de ontsleutel-software kopen: Even geduld aub... http://xpcx6erilkjced3j.tor2web.org/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.link/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.nu/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.cab/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.to/CDFC-ECDD-6DF1-0006-4C5B Als deze pagina niet geopend kan worden klik dan hier om een nieuw adres aan uw persoonlijke pagina toe te voegen. Op deze pagina zult u de complete instructies ontvangen hoe u de ontsleutel-software kunt kopen om al uw bestanden te herstellen. Op deze pagina kunt u ook één file gratis herstellen om u ervan te verzekeren dat “CRBR Decryptor” u zal helpen. Als uw persoonlijke pagina langere tijd niet beschikbaar is, is er een andere manier om uw persoonlijke pagina te openen – het installeren en gebruiken van Tor Browser: start uw intern N8a3 et browser (als u niet weet welke dat is, start dan Internet Explorer); voer het adr toP es in of kopieer het adres https://www.torproject.org/download/download-easy.html.en in de adresbalk van uw browser en druk op ENTER; wacht totdat de site laad OQyMWe t; op de site word M9O t u aangeboden om de Tor Browser te laden; downloadt het en voer het uit, volg de installatie instructies, en wacht totdat de installatie compleet is; voer Tor Brow l3 ser uit; maak verbinding m SE4m et de knop “Connect” (als u de Engelse versie gebruikt); een normale Intern i et browser zal openen na de installatie; typ of kopieer het a S5FyY dres http://xpcx6erilkjced3j.onion/CDFC-ECDD-6DF1-0006-4C5B in de adresbalk van uw browser; druk EN DLSALomLT TER; de site zou moeten la z den; als om enige reden de site niet laadt, wacht dan even en probeer opnieuw. Indien uw problemen heeft tijdens de installatie of het gebruik van Tor Browser, ga dan naar https://www.youtube.com en typ in de zoekbalk “install tor browser windows” en u zult een heleboel training video’s vinden over de installatie en het gebruik van Tor Browser. Aanvullende informatie: U vindt de instructies om uw bestanden te herstellen (“*_R_E_A_D___T_H_I_S_*.hta”) in elke folder met uw versleutelde bestanden. De instructies (“*_R_E_A_D___T_H_I_S_*.hta”) in de folders met uw versleutelde bestanden zijn geen virussen, de instructies (“*_R_E_A_D___T_H_I_S_*.hta”) zal u helpen uw bestanden te ontsleutelen. Denk eraan, het ergste is al gebeurd en de toekomst van uw bestanden hangt af van uw vastberadenheid en de snelheid van uw acties. Vous ne trouvez pas les fic 4U hiers necessaires? Le contenu de vos fichiers n’est pas lisible? C’est normal car les noms d Y0MVB es fichiers et des donnees dans vos fichiers ont ete cryptes par «CRBR Encryptor». Cela signifie que vos fich 84 iers ne sont PAS endommages! Vos fichiers sont seulement modifies. Cette modification est reversible. A partir de maintenant, il n’est plus possible d’utiliser vos fichiers jusqu'a ce qu’ils soient decryptes. La seule facon de dec jbA04tZgXn rypter vos fichiers en toute securite est d’acheter le logiciel de decryptage special «CRBR Decryptor». Toute tentative visant a rest auw aurer vos fichiers avec le logiciel tiers sera fatale pour vos fichiers! Vous pouvez proceder a l’achat du logiciel de decryptage sur vot s9yHasWoZs re page personnelle: S'il vous plaît, att 3g6c endez... http://xpcx6erilkjced3j.tor2web.org/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.link/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.nu/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.cab/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.to/CDFC-ECDD-6DF1-0006-4C5B Si vous ne pouvez pas ouvrir cette page cliquez ici pour generer une nouvelle adresse pour votre page personnelle. A cette page, vous recevrez les instructions comple 0 tes sur la facon d'acheter le logiciel de decryptage pour la restauration de tous vos fichiers. Egalement a cette page, vous serez en mesure de restaure m r n’importe quel fichier gratuitement pour etre sur que «CRBR Decryptor» vous aidera. Si votre page personn BF27oL elle n’est pas disponible pendant une longue periode il y a une autre facon d’ouvrir votre page personnelle - installation et utilisation de Tor Browser: executez votre navigateur Internet (si vous ne savez pas ce que c’est, lancez Internet Explorer); saisissez ou copiez l’adresse https://www.torproject.org/download/download-easy.html.en dans la barre d’adresses de votre navigateur et appuyez sur ENTREE; attendez que le site charge; sur le site, il vous sera propose de telecharger Tor Browser; Telechargez et executez-le, suivez les instructions d’installation, attendez que l’installation se termine; lancez Tor Browser; connectez-vous avec le bouton «Connect» (si vous utilisez la version anglaise); une fenetre du navigateur Internet normale sera ouverte apres l’initialisation; tapez ou copiez l’adresse http://xpcx6erilkjced3j.onion/CDFC-ECDD-6DF1-0006-4C5B dans cette barre d’adresse de navigate
URLs

http://xpcx6erilkjced3j.tor2web.org/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.link/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.nu/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.cab/CDFC-ECDD-6DF1-0006-4C5Bhttp://xpcx6erilkjced3j.onion.to/CDFC-ECDD-6DF1-0006-4C5B

http://xpcx6erilkjced3j.onion/CDFC-ECDD-6DF1-0006-4C5B

https://www.baidu.com

Signatures

  • Cerber

    Cerber is a widely used ransomware-as-a-service (RaaS), first seen in 2017.

  • suricata: ET MALWARE Ransomware/Cerber Checkin M3 (13)
  • Modifies Windows Firewall 1 TTPs
  • Drops startup file 1 IoCs
  • Enumerates connected drives 3 TTPs 24 IoCs

    Attempts to read the root path of hard drives other than the default C: drive.

  • Drops file in System32 directory 38 IoCs
  • Sets desktop wallpaper using registry 2 TTPs 1 IoCs
  • Drops file in Program Files directory 20 IoCs
  • Drops file in Windows directory 64 IoCs
  • Enumerates physical storage devices 1 TTPs

    Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

  • Program crash 1 IoCs
  • Kills process with taskkill 1 IoCs
  • Modifies registry class 1 IoCs
  • Opens file in notepad (likely ransom note) 1 IoCs
  • Runs ping.exe 1 TTPs 1 IoCs
  • Suspicious behavior: EnumeratesProcesses 15 IoCs
  • Suspicious use of AdjustPrivilegeToken 6 IoCs
  • Suspicious use of WriteProcessMemory 21 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\2f72425b28c03245758d9778b9f637ac981f1ec3df591162f69949c466bfb19c.sample.exe
    "C:\Users\Admin\AppData\Local\Temp\2f72425b28c03245758d9778b9f637ac981f1ec3df591162f69949c466bfb19c.sample.exe"
    1⤵
    • Drops startup file
    • Enumerates connected drives
    • Drops file in System32 directory
    • Sets desktop wallpaper using registry
    • Drops file in Program Files directory
    • Drops file in Windows directory
    • Modifies registry class
    • Suspicious use of AdjustPrivilegeToken
    • Suspicious use of WriteProcessMemory
    PID:1892
    • C:\Windows\SysWOW64\netsh.exe
      C:\Windows\system32\netsh.exe advfirewall set allprofiles state on
      2⤵
        PID:2772
      • C:\Windows\SysWOW64\netsh.exe
        C:\Windows\system32\netsh.exe advfirewall reset
        2⤵
          PID:2736
        • C:\Windows\SysWOW64\mshta.exe
          "C:\Windows\SysWOW64\mshta.exe" "C:\Users\Admin\Desktop\_R_E_A_D___T_H_I_S___0Z1C2HLD_.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}
          2⤵
            PID:656
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -u -p 656 -s 1836
              3⤵
              • Program crash
              • Suspicious behavior: EnumeratesProcesses
              • Suspicious use of AdjustPrivilegeToken
              PID:208
          • C:\Windows\SysWOW64\NOTEPAD.EXE
            "C:\Windows\system32\NOTEPAD.EXE" C:\Users\Admin\Desktop\_R_E_A_D___T_H_I_S___8B0O2_.txt
            2⤵
            • Opens file in notepad (likely ransom note)
            PID:1212
          • C:\Windows\SysWOW64\cmd.exe
            "C:\Windows\system32\cmd.exe" /d /c taskkill /f /im "2" > NUL & ping -n 1 127.0.0.1 > NUL & del "C" > NUL && exit
            2⤵
            • Suspicious use of WriteProcessMemory
            PID:2180
            • C:\Windows\SysWOW64\taskkill.exe
              taskkill /f /im "2"
              3⤵
              • Kills process with taskkill
              • Suspicious use of AdjustPrivilegeToken
              PID:600
            • C:\Windows\SysWOW64\PING.EXE
              ping -n 1 127.0.0.1
              3⤵
              • Runs ping.exe
              PID:3584

        Network

        MITRE ATT&CK Matrix ATT&CK v6

        Persistence

        Modify Existing Service

        1
        T1031

        Defense Evasion

        Modify Registry

        1
        T1112

        Discovery

        Query Registry

        1
        T1012

        Peripheral Device Discovery

        1
        T1120

        System Information Discovery

        2
        T1082

        Remote System Discovery

        1
        T1018

        Impact

        Defacement

        1
        T1491

        Replay Monitor

        Loading Replay Monitor...

        Downloads

        • C:\Users\Admin\Desktop\_R_E_A_D___T_H_I_S___0Z1C2HLD_.hta
          MD5

          d1e19e9c632362509fb3c619bba8f254

          SHA1

          2102db20baa8377907e08271d20e515f033789d8

          SHA256

          62c89f071d4fca94819372d7438fae1987451af74b69bc3b2224222dec0fbfd2

          SHA512

          4212fabaf941837a708563e4079dd0b30aaf0a7e982f805b8998f539821260b678a5b8ea250eeb165a7baef6319f1a73d54c032ad97f2f3442f0c176e00e9bae

        • C:\Users\Admin\Desktop\_R_E_A_D___T_H_I_S___8B0O2_.txt
          MD5

          143f22934fb58f10cae36f2f6feb24eb

          SHA1

          f55b350f550792b4c7a1cecb35f1e070fec8245e

          SHA256

          fe313eb93226b21e10edb162967e6240c7fe02b0c77d74234bee510f0214b049

          SHA512

          87c555b92b7fca15fa641e5763df09a9d05cbf6f448592dac3ef7ae4b2a16be1636e02773eb2dee175da13bc68948d0115ad1d11000869de36674d4bcba460a3

        • memory/600-121-0x0000000000000000-mapping.dmp
        • memory/656-116-0x0000000000000000-mapping.dmp
        • memory/1212-117-0x0000000000000000-mapping.dmp
        • memory/2180-120-0x0000000000000000-mapping.dmp
        • memory/2736-115-0x0000000000000000-mapping.dmp
        • memory/2772-114-0x0000000000000000-mapping.dmp
        • memory/3584-122-0x0000000000000000-mapping.dmp