Analysis
-
max time kernel
200s -
max time network
225s -
platform
windows10-2004_x64 -
resource
win10v2004-en-20220113 -
submitted
20-02-2022 03:26
General
-
Target
ab5b8853961dbd4013c2fb44403eba2ac32abfbf4f65e2d32d83c5c642591e5f.exe
-
Size
168KB
-
MD5
8ebc7a62a10f80deba528943af806064
-
SHA1
03ded58db9c70793fe4ef1837078ff2780358efb
-
SHA256
ab5b8853961dbd4013c2fb44403eba2ac32abfbf4f65e2d32d83c5c642591e5f
-
SHA512
ff00db4bee7997a561ec8a2281299191f9012e361ad4f593c9706bf43d7f97466bcf1de3da2674fa42b3cd8091ad3a680c915392ae9f595363214c78ef1862a2
Score
10/10
Malware Config
Extracted
Path
C:\Users\Admin\AppData\Local\Temp\RyukReadMe.html
Family
ryuk
Ransom Note
<html><body><p style="font-weight:bold;font-size:125%;top:0;left:0;"> [email protected] <br> [email protected] </p><p style="position:absolute;bottom:0;right:1%;font-weight:bold;font-size:170%">balance of shadow universe</p><div style="font-size: 550%;font-weight:bold;width:50%;height:50%;overflow:auto;margin:auto;position:absolute;top:35%;left:40%;">Ryuk</div></body></html�������������������������������������������������������������������������������������������������������������������������������������������������������
Signatures
-
Ryuk
Ransomware distributed via existing botnets, often Trickbot or Emotet.
-
Suspicious behavior: EnumeratesProcesses 2 IoCs
-
Suspicious use of AdjustPrivilegeToken 1 IoCs
Processes
-
C:\Users\Admin\AppData\Local\Temp\ab5b8853961dbd4013c2fb44403eba2ac32abfbf4f65e2d32d83c5c642591e5f.exe"C:\Users\Admin\AppData\Local\Temp\ab5b8853961dbd4013c2fb44403eba2ac32abfbf4f65e2d32d83c5c642591e5f.exe"1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken