Overview

overview

10

Static

static

sample.exe

windows7_x64

10

sample.exe

windows10_x64

7

Analysis

  • max time kernel
    117s
  • max time network
    120s
  • platform
    windows7_x64
  • resource
    win7-en-20211208
  • submitted
    08-12-2021 17:49

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    sample.exe

  • Size

    747KB

  • MD5

    ae99e6a451bc53830be799379f5c1104

  • SHA1

    f79ea5b6b14cbbd947585c78c2446becaef803b7

  • SHA256

    772cad26853c7d8ea8f1023f6e3cba219cc9bb1db1cd31ad2b979e59d3d9c631

  • SHA512

    4e109061ec24a4772ad8930a7a6038ff3bc318cf3de6dde3dacdf5f34bb37ead18e82ec5bf377e2b7229df81e0e94a73447c086e74006be321ab0cc414b92e31

Score
10/10
ransomwarespywarestealer

Malware Config

Extracted

Path

C:\Users\Admin\AppData\Local\Microsoft\Windows Mail\Backup\new\__$$RECOVERY_README$$__.html

Ransom Note
<!DOCTYPE html> <html lang="en"> <head> <meta charset="utf-8"> <title>C&#069;&#82;BE&#82; &#82;ANSOMWA&#82;&#069;: Instructions</title> <HTA:APPLICATION APPLICATIONNAME="Instructions" SCROLL="yes" SINGLEINSTANCE="yes" WINDOWSTATE="maximize"> <style> a { color: #04a; text-decoration: none; } a:hover { text-decoration: underline; } body { background-color: #e7e7e7; color: #222; font-family: "Lucida Sans Unicode", "Lucida Grande", sans-serif; font-size: 13pt; line-height: 19pt; } body, h1 { margin: 0; padding: 0; } hr { color: #bda; height: 2pt; margin: 1.5%; } h1 { color: #555; font-size: 14pt; } ol { padding-left: 2.5%; } ol li { padding-bottom: 13pt; } small { color: #555; font-size: 11pt; } ul { list-style-type: none; margin: 0; padding: 0; } .button { color: #04a; cursor: pointer; } .button:hover { text-decoration: underline; } .container { background-color: #fff; border: 2pt solid #c7c7c7; margin: 5%; min-width: 850px; padding: 2.5%; } .header { border-bottom: 2pt solid #c7c7c7; margin-bottom: 2.5%; padding-bottom: 2.5%; } .hr { background: #bda; display: block; height: 2pt; margin-top: 1.5%; margin-bottom: 1.5%; overflow: hidden; width: 100%; } .info { background-color: #efe; border: 2pt solid #bda; display: inline-block; padding: 1.5%; text-align: left; word-wrap: break-word; word-break: break-all; } .updating { color: red; display: none; padding-left: 35px; background: url('data:image/gif;base64,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') left no-repeat; } #change_language { float: right; } #change_language, #texts div { display: none; } </style> </head> <body> <div class="container"> <div class="header"> <a id="change_language" href="#" onclick="return changeLanguage1();" title="English">&#9745; English</a> <h1>C&#069;&#82;BE&#82; &#82;ANSOMWA&#82;&#069;</h1> <small id="title">Instructions</small> </div> <div id="languages"> <p>&#9745; Select your language</p> <ul> <li><a href="#" title="English" onclick="return showBlock('en');">English</a></li> <li><a href="#" title="Arabic" onclick="return showBlock('ar');">العربية</a></li> <li><a href="#" title="Chinese" onclick="return showBlock('zh');">中文</a></li> <li><a href="#" title="Dutch" onclick="return showBlock('nl');">Nederlands</a></li> <li><a href="#" title="French" onclick="return showBlock('fr');">Français</a></li> <li><a href="#" title="German" onclick="return showBlock('de');">Deutsch</a></li> <li><a href="#" title="Italian" onclick="return showBlock('it');">Italiano</a></li> <li><a href="#" title="Japanese" onclick="return showBlock('ja');">日本語</a></li> <li><a href="#" title="Portuguese" onclick="return showBlock('pt');">Português</a></li> <li><a href="#" title="Spanish" onclick="return showBlock('es');">Español</a></li> <li><a href="#" title="Turkish" onclick="return showBlock('tr');">Türkçe</a></li> </ul> </div> <div id="texts"> <div id="en"> <p>Can't you find the necessary files?<br>Is the content of your files not readable?</p> <p>It is normal because the files' names and the data in your files have been encrypted by "Cer&#98;er&nbsp;Rans&#111;mware".</p> <p>It means your files are NOT damaged! Your files are modified only. This modification is reversible.<br>From now it is not possible to use your files until they will be decrypted.</p> <p>The only way to decrypt your files safely is to buy the special decryption software "Cer&#98;er&nbsp;Decryptor".</p> <p>Any attempts to restore your files with the third-party software will be fatal for your files!</p> <hr> <p class="w331208">You can proceed with purchasing of the decryption software at your personal page:</p> <p><span class="info"><span class="updating">Please wait...</span><a id="megaurl" class="url" href="http://pigetrzlperjreyr3fbytm27bljaq4eungv3gdq2tohnoyfrqu4bx5qd.onion/bt019c86c752b7b19e6ad7133a9038cbc4681bbfa36804548ffb108d6ec27634dec53221c0477b6292c080611d0410f3f77d7b07ca4cd09a2908c92c713646f730dbe4b96f077271fd2c1e89a232de127486e71484913d3c4fd6ff19cab7a37b2febab3f6621929dc80f7d56756603467379a734acd307796a93c3cdb1d8e9695f38/" target="_blank">http://pigetrzlperjreyr3fbytm27bljaq4eungv3gdq2tohnoyfrqu4bx5qd.onion/bt019c86c752b7b19e6ad7133a9038cbc4681bbfa36804548ffb108d6ec27634dec53221c0477b6292c080611d0410f3f77d7b07ca4cd09a2908c92c713646f730dbe4b96f077271fd2c1e89a232de127486e71484913d3c4fd6ff19cab7a37b2febab3f6621929dc80f7d56756603467379a734acd307796a93c3cdb1d8e9695f38/</a></span></p> <p>At this page you will receive the complete instructions how to buy the decryption software for restoring all your files.</p> <p>Also at this page you will be able to restore any one file for free to be sure "Cer&#98;er&nbsp;Decryptor" will help you.</p> <hr> <p>If your personal page is not available for a long period there is another way to open your personal page - installation and use of Tor&nbsp;Browser:</p> <ol> <li>run your Internet browser (if you do not know what it is run the Internet&nbsp;Explorer);</li> <li>enter or copy the address <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> into the address bar of your browser and press ENTER;</li> <li>wait for the site loading;</li> <li>on the site you will be offered to download Tor&nbsp;Browser; download and run it, follow the installation instructions, wait until the installation is completed;</li> <li>run Tor&nbsp;Browser;</li> <li>connect with the button "Connect" (if you use the English version);</li> <li>a normal Internet browser window will be opened &#097;fter the initialization;</li> <li>type or copy the address <br><span class="info">http://pigetrzlperjreyr3fbytm27bljaq4eungv3gdq2tohnoyfrqu4bx5qd.onion/bt019c86c752b7b19e6ad7133a9038cbc4681bbfa36804548ffb108d6ec27634dec53221c0477b6292c080611d0410f3f77d7b07ca4cd09a2908c92c713646f730dbe4b96f077271fd2c1e89a232de127486e71484913d3c4fd6ff19cab7a37b2febab3f6621929dc80f7d56756603467379a734acd307796a93c3cdb1d8e9695f38/</span><br> in this browser address bar;</li> <li>press ENTER;</li> <li>the site should be loaded; if for some reason the site is not loading wait for a moment and try again.</li> </ol> <p>If you have any problems during installation or use of Tor&nbsp;Browser, please, visit <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> and type request in the search bar "Install Tor&nbsp;Browser Windows" and you will find a lot of training videos about Tor&nbsp;Browser installation and use.</p> <hr> <p><strong>Additional information:</strong></p> <p>You will find the instructions ("*README*.hta") for restoring your files in any folder with your encrypted files.</p> <p>The instructions ("*README*.hta") in the folders with your encrypted files are not viruses! The instructions ("*README*.hta") will help you to decrypt your files.</p> <p>Remember! The worst situation already happened and now the future of your files depends on your determination and speed of your actions.</p> </div> <div id="ar" style="direction: rtl;"> <p>لا يمكنك العثور على الملفات الضرورية؟<br>هل محتوى الملفات غير قابل للقراءة؟</p> <p>هذا أمر طبيعي لأن أسماء الملفات والبيانات في الملفات قد تم تشفيرها بواسطة "Cer&#98;er&nbsp;Rans&#111;mware".</p> <p>وهذا يعني أن الملفات الخاصة بك ليست تالفة! فقد تم تعديل ملفاتك فقط. ويمكن التراجع عن هذا.<br>ومن الآن فإنه لا يكن استخدام الملفات الخاصة بك حتى يتم فك تشفيرها.</p> <p>الطريقة الوحيدة لفك تشفير ملفاتك بأمان هو أن تشتري برنامج فك التشفير المتخصص "Cer&#98;er&nbsp;Decryptor".</p> <p>إن أية محاولات لاستعادة الملفات الخاصة بك بواسطة برامج من طرف ثالث سوف تكون مدمرة لملفاتك!</p> <hr> <p>يمكنك الشروع في شراء برنامج فك التشفير من صفحتك الشخصية:</p> <p><span class="info"><span class="updating">أرجو الإنتظار...</span><a class="url" href="http://pigetrzlperjreyr3fbytm27bljaq4eungv3gdq2tohnoyfrqu4bx5qd.onion/bt019c86c752b7b19e6ad7133a9038cbc4681bbfa36804548ffb108d6ec27634dec53221c0477b6292c080611d0410f3f77d7b07ca4cd09a2908c92c713646f730dbe4b96f077271fd2c1e89a232de127486e71484913d3c4fd6ff19cab7a37b2febab3f6621929dc80f7d56756603467379a734acd307796a93c3cdb1d8e9695f38/" target="_blank">http://pigetrzlperjreyr3fbytm27bljaq4eungv3gdq2tohnoyfrqu4bx5qd.onion/bt019c86c752b7b19e6ad7133a9038cbc4681bbfa36804548ffb108d6ec27634dec53221c0477b6292c080611d0410f3f77d7b07ca4cd09a2908c92c713646f730dbe4b96f077271fd2c1e89a232de127486e71484913d3c4fd6ff19cab7a37b2febab3f6621929dc80f7d56756603467379a734acd307796a93c3cdb1d8e9695f38/</a></span></p> <p>في هذه الصفحة سوف تتلقى تعليمات كاملة حول كيفية شراء برنامج فك التشفير لاستعادة جميع الملفات الخاصة بك.</p> <p>في هذه الصفحة أيضًا سوف تتمكن من استعادة ملف واحد بشكل مجاني للتأكد من أن "Cer&#98;er&nbsp;Decryptor" سوف يساعدك.</p> <hr> <p>إذا كانت صفحتك الشخصية غير متاحة لفترة طويلة فإن ثمّة طريقة أخرى لفتح صفحتك الشخصية - تحميل واستخدام متصفح Tor:</p> <ol> <li>قم بتشغيل متصفح الإنترنت الخاص بك (إذا كنت لا تعرف ما هو قم بتشغيل إنترنت إكسبلورر);</li> <li>قم بكتابة أو نسخ العنوان <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> إلى شريط العنوان في المستعرض الخاص بك ثم اضغط ENTER;</li> <li>انتظر لتحميل الموقع;</li> <li>سوف يعرض عليك الموقع تحميل متصفح Tor. قم بتحميله وتشغيله، واتبع تعليمات التثبيت، وانتظر حتى اكتمال التثبيت;</li> <li>قم بتشغيل متصفح Tor;</li> <li>اضغط على الزر "Connect" (إذا كنت تستخدم النسخة الإنجليزية);</li> <li>سوف تُفتح نافذة متصفح الإنترنت العادي بعد البدء;</li> <li>قم بكتابة أو نسخ العنوان <br><span class="info">http://pigetrzlperjreyr3fbytm27bljaq4eungv3gdq2tohnoyfrqu4bx5qd.onion/bt019c86c752b7b19e6ad7133a9038cbc4681bbfa36804548ffb108d6ec27634dec53221c0477b6292c080611d0410f3f77d7b07ca4cd09a2908c92c713646f730dbe4b96f077271fd2c1e89a232de127486e71484913d3c4fd6ff19cab7a37b2febab3f6621929dc80f7d56756603467379a734acd307796a93c3cdb1d8e9695f38/</span><br> في شريط العنوان في المتصفح;</li> <li>اضغط ENTER;</li> <li>يجب أن يتم تحميل الموقع؛ إذا لم يتم تحميل الموقع لأي سبب، انتظر للحظة وحاول مرة أخرى.</li> </ol> <p>إذا كان لديك أية مشكلات أثناء عملية التثبيت أو استخدام متصفح Tor، يُرجى زيارة <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> واكتب الطلب "install tor browser windows" أو "تثبيت نوافذ متصفح Tor" في شريط البحث، وسوف تجد الكثير من أشرطة الفيديو للتدريب حول تثبيت متصفح Tor واستخدامه.</p> <hr> <p><strong>معلومات إضافية:</strong></p> <p>سوف تجد إرشادات استعادة الملفات الخاصة بك ("*README*") في أي مجلد مع ملفاتك المشفرة.</p> <p>الإرشادات ("*README*") الموجودة في المجلدات مع ملفاتك المشفرة ليست فيروسات والإرشادات ("*README*") سوف تساعدك على فك تشفير الملفات الخاصة بك.</p> <p>تذكر أن أسوأ موقف قد حدث بالفعل، والآن مستقبل ملفاتك يعتمد على عزيمتك وسرعة الإجراءات الخاصة بك.</p> </div> <div id="zh"> <p>您无法打开所需的文件?<br>您文件的内容无法阅读?</p> <p>这是正常的,因为您文件的文件名和数据已经被“Cer&#98;er&nbsp;Rans&#111;mware”加密了。</p> <p>这意味着您的文件并没有损坏!您的文件只是被修改了,这个修改是可逆的,解密之前您无法使用您的文件。</p> <p>安全解密您文件的唯一方式是购买特别的解密软件“Cer&#98;er&nbsp;Decryptor”。</p> <p>任何使用第三方软件恢复您文件的方式对您的文件来说都将是致命的!</p> <hr> <p>您可以在您的个人页面上购买解密软件:</p> <p><span class="info"><span class="updating">请稍候...</span><a class="url" href="http://pigetrzlperjreyr3fbytm27bljaq4eungv3gdq2tohnoyfrqu4bx5qd.onion/bt019c86c752b7b19e6ad7133a9038cbc4681bbfa36804548ffb108d6ec27634dec53221c0477b6292c080611d0410f3f77d7b07ca4cd09a2908c92c713646f730dbe4b96f077271fd2c1e89a232de127486e71484913d3c4fd6ff19cab7a37b2febab3f6621929dc80f7d56756603467379a734acd307796a93c3cdb1d8e9695f38/" target="_blank">http://pigetrzlperjreyr3fbytm27bljaq4eungv3gdq2tohnoyfrqu4bx5qd.onion/bt019c86c752b7b19e6ad7133a9038cbc4681bbfa36804548ffb108d6ec27634dec53221c0477b6292c080611d0410f3f77d7b07ca4cd09a2908c92c713646f730dbe4b96f077271fd2c1e89a232de127486e71484913d3c4fd6ff19cab7a37b2febab3f6621929dc80f7d56756603467379a734acd307796a93c3cdb1d8e9695f38/</a></span></p> <p>您将在这个页面上看到怎样购买解密软件以恢复您的文件的详细介绍。</p> <p>您也可以在这个页面上免费解密任意一份文件以确认“Cer&#98;er&nbsp;Decryptor”能够恢复您的任何文件。</p> <hr> <p>如果您的浏览器无法打开您的个人页面,您需要安装并使用 Tor 浏览器来打开您的个人页面:</p> <ol> <li>使用您的上网浏览器(如果您不知道使用 Internet&nbsp;Explorer 的话);</li> <li>在浏览器的地址栏输入或复制地址 <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> 并按 ENTER 键;</li> <li>等待站点加载;</li> <li>您将在站点上下载 Tor 浏览器;下载并运行它,按照安装指南进行操作,等待直至安装完成;</li> <li>运行 Tor 浏览器;</li> <li>使用“Connect”按钮进行连接(如果您使用英文版);</li> <li>初始化之后将打开正常��

Signatures

  • Deletes itself 1 IoCs
  • Reads user/profile data of web browsers 2 TTPs

    Infostealers often target stored browser data, which can include saved credentials etc.

    spywarestealer
  • Enumerates physical storage devices 1 TTPs

    Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

  • Suspicious use of WriteProcessMemory 8 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\sample.exe
    "C:\Users\Admin\AppData\Local\Temp\sample.exe"
    1⤵
    • Suspicious use of WriteProcessMemory
    PID:764
    • C:\Windows\SysWOW64\cmd.exe
      "C:\Windows\system32\cmd.exe" /c del C:\Users\Admin\AppData\Local\Temp\sample.exe >> NUL
      2⤵
        PID:1884
      • C:\Windows\SysWOW64\cmd.exe
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\1.bat" "
        2⤵
        • Deletes itself
        PID:368

    Network

    MITRE ATT&CK Matrix ATT&CK v6

    Initial Access

    Execution

    Persistence

    Privilege Escalation

    Defense Evasion

    Credential Access

    Credentials in Files

    1
    T1081

    Discovery

    System Information Discovery

    1
    T1082

    Lateral Movement

    Collection

    Data from Local System

    1
    T1005

    Exfiltration

    Command and Control

    Impact

    Replay Monitor

    Loading Replay Monitor...

    Downloads

    • C:\Users\Admin\AppData\Local\Temp\1.bat
      MD5

      2a284738125555714876fb06ecd16e20

      SHA1

      f10c76cf311c2c5ae8a499b198c27e695472ef36

      SHA256

      9e468326155e1d5d32da535276e72c841ab3592f33d5474972fba3da3f92d639

      SHA512

      e5941e1bf45ed5160d321d4e20cdba40ffeb3078f72c57bf3285c9a034d768196f644960136456f248fc8ed3f22aff512e41aba19a96cfe49090ece491c8d7bc

      Download Submit
    • memory/368-56-0x0000000000000000-mapping.dmp
      Download
    • memory/764-54-0x0000000075D61000-0x0000000075D63000-memory.dmp
      Filesize

      8KB

      Download
    • memory/1884-55-0x0000000000000000-mapping.dmp
      Download