a4b32ddff2e625f16ea44e0c4ba144351d7ecfee961dcb69112a0cffe5fcaca1

Analysis

max time kernel
42s
max time network
45s
platform
windows7_x64
resource
win7-20220812-en
resource tags

arch:x64arch:x86image:win7-20220812-enlocale:en-usos:windows7-x64system
submitted
08/09/2022, 19:14

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

nowy numer zamówienia 20220208 dla przesyłki wrześniowej,pdf.exe
Size

367KB
MD5

2e3b60e3360a50f75a2ef17870808915
SHA1

512b9cdd39fa5286316564dba8541ce0fcc99249
SHA256

797d88c6fccabde3c549742debb25d7d60cc0d6b2eeb7c08751ab65bceb48f66
SHA512

ba875e4944720adc6d82137d0552c1ee1fcc83da992d3181a8d1766fe1b19c63dee54757460ed537e7c985e6dcd4b6bc3ff4620c96724e18f2392881f6357433
SSDEEP

6144:vB+pgU9qgSfDjDbxF6fU2xlR7Od1e5we2d294uhmQN//n7GoE:vgYs/u1W2d8mW7a

Score

7^/10

Malware Config

Signatures

Loads dropped DLL 1 IoCs

pid	Process
1948	nowy numer zamówienia 20220208 dla przesyłki wrześniowej,pdf.exe

Drops file in Windows directory 2 IoCs

description	ioc	Process
File opened for modification	C:\Windows\resources\Nonconcealment\Prodelay\Homicide252.Cra	nowy numer zamówienia 20220208 dla przesyłki wrześniowej,pdf.exe
File opened for modification	C:\Windows\Domino.Bev	nowy numer zamówienia 20220208 dla przesyłki wrześniowej,pdf.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

System Information Discovery
T1082

C:\Users\Admin\AppData\Local\Temp\nowy numer zamówienia 20220208 dla przesyłki wrześniowej,pdf.exe
"C:\Users\Admin\AppData\Local\Temp\nowy numer zamówienia 20220208 dla przesyłki wrześniowej,pdf.exe"
1⤵
- Loads dropped DLL
- Drops file in Windows directory
PID:1948

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

\Users\Admin\AppData\Local\Temp\nso150A.tmp\System.dll

Filesize
11KB

MD5
a4dd044bcd94e9b3370ccf095b31f896

SHA1
17c78201323ab2095bc53184aa8267c9187d5173

SHA256
2e226715419a5882e2e14278940ee8ef0aa648a3ef7af5b3dc252674111962bc

SHA512
87335a43b9ca13e1300c7c23e702e87c669e2bcf4f6065f0c684fc53165e9c1f091cc4d79a3eca3910f0518d3b647120ac0be1a68eaade2e75eaa64adfc92c5a

Download Submit
memory/1948-54-0x0000000075F51000-0x0000000075F53000-memory.dmp

Filesize
8KB

Download
memory/1948-56-0x00000000037B0000-0x000000000390C000-memory.dmp

Filesize
1.4MB

Download