Resubmissions

28-07-2024 16:38

240728-t5tryssgmm 10

07-07-2024 14:07

240707-rfgd8atekm 10

07-07-2024 14:07

240707-re689awdpe 10

13-09-2022 17:54

220913-wg1lpsgbg7 10

Analysis

  • max time kernel
    1697s
  • max time network
    1711s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20220901-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20220901-enlocale:en-usos:windows10-2004-x64system
  • submitted
    13-09-2022 17:54

General

  • Target

    RansomwareSamples/SunCrypt_26_01_2021_1422KB.ps1

  • Size

    1.4MB

  • MD5

    d87fcd8d2bf450b0056a151e9a116f72

  • SHA1

    48cb6bdbe092e5a90c778114b2dda43ce3221c9f

  • SHA256

    3090bff3d16b0b150444c3bfb196229ba0ab0b6b826fa306803de0192beddb80

  • SHA512

    61a636aca3d224dcd2ed29ca000cf0ecf88f51ffd7cb5182ea4599c9e889cb74b78824d93c7383457bd6d591506202527d44c6a15c93a9ab9cfc8230faddd04b

  • SSDEEP

    12288:1deyF8N4Ateo7FURIFdnHt+gifa/kf5jOcXsikHOQLWOj9:1deyF8N4Ateo7WROdnHQgmSccikHh9

Score
10/10

Malware Config

Extracted

Path

C:\$Recycle.Bin\S-1-5-21-929662420-1054238289-2961194603-1000\YOUR_FILES_ARE_ENCRYPTED.HTML

Ransom Note
<!DOCTYPE html> <html lang="en"> <head> <meta charset='utf-8'> <meta name='viewport' content='width=device-width,initial-scale=1'> <title></title> <style> html, body { background-color: #1a1a1a; } body { padding-top: 3rem !important; } #text h2 { color: white; font-size: 2rem; font-weight: 600; line-height: 1.125; } .tabs { -webkit-overflow-scrolling: touch; align-items: stretch; display: flex; font-size: 1rem; justify-content: space-between; overflow: hidden; overflow-x: hidden; overflow-x: auto; white-space: nowrap; } .tabs ul { align-items: center; border-bottom-color: #454545; border-bottom-style: solid; border-bottom-width: 1px; display: flex; flex-grow: 1; flex-shrink: 0; justify-content: flex-start; } .tabs.is-toggle ul { border-bottom: none; } .tabs li { position: relative; } .tabs li { display: block; } .tabs.is-toggle li.is-active a { background-color: white; border-color: white; color: rgba(0, 0, 0, 0.7); z-index: 1; } .tabs.is-toggle li:first-child a { border-top-left-radius: 3px; border-bottom-left-radius: 3px; } .tabs li.is-active a { border-bottom-color: white; color: white; } .tabs.is-toggle a { border-color: #454545; border-style: solid; border-width: 1px; margin-bottom: 0; position: relative; } .tabs a { align-items: center; border-bottom-color: #454545; border-bottom-style: solid; border-bottom-width: 1px; color: white; display: flex; justify-content: center; margin-bottom: -1px; padding: 0.5em 1em; vertical-align: top; cursor: pointer; } .tabs.is-toggle li:last-child a { border-top-right-radius: 3px; border-bottom-right-radius: 3px; } .container { max-width: 1152px; max-width: ; flex-grow: 1; margin: 0 auto; position: relative; width: auto; } .box { background-color: #242424; color: white; display: block; padding: 1.25rem; border: 1px solid #303030; } blockquote { background: hsl(0, 0%, 20%); padding: 1rem; border-left: 3px solid #55a630; } a { color: #e55934; } </style> <script> let text = { en: `<h2> Whats Happen? </h2> We got your documents and files encrypted and you cannot access them. To make sure we�re not bluffing just check out your files. Want to recover them? Just do what we instruct you to. If you fail to follow our recommendations, you will never see your files again. During each attack, we copy valuable commercial data. If the user doesn’t pay to us, we will either send those data to rivals, or publish them. GDPR. Don’t want to pay to us, pay 10x more to the government. <h2> What Guarantees? </h2> We’re doing our own business and never care about what you do. All we need is to earn. Should we be unfair guys, no one would work with us. So if you drop our offer we won’t take any offense but you’ll lose all of your data and files. How much time would it take to recover losses? You only may guess. <h2> How do I access the website? </h2> <ul> <li><a href="https://torproject.org" target="_blank">Get TOR browser here</a></li> <li><a href="http://ebwexiymbsib4rmw.onion/chat.html?6a1dcf2506-24d447c336-052b4f4dd4-a66e12e526-918eb97c22-28ca2d80dd-df62bf2289-ba05daa71c">Go to our website</a></li> </ul>`, de: `<h2> Was ist gerade passiert? </h2> Wir haben Ihre Dokumente und Dateien verschlüsselt und Sie können nicht mehr darauf zugreifen. Jeder Angriff wird von einer Kopie der kommerziellen Informationen begleitet. Um sicherzustellen, dass wir es ernst meinen, prüfen Sie einfach Ihre Dateien und Sie werden sehen. Möchten Sie sie wiederherstellen? Halten Sie sich einfach an unsere Anweisungen, um uns zu bezahlen. Tuen Sie dies nicht, werden Sie Ihre Dateien niemals wiedersehen. Im Falle einer Zahlungsverweigerung werden die Daten entweder an Wettbewerber verkauft oder in offenen Quellen bereitgestellt. GDPR. Wenn Sie uns nicht bezahlen möchten, zahlen Sie das Zehnfache an der Regierung. <h2> Wie sollten Sie uns trauen ? </h2> Wir machen unsere eigenen Geschäfte und kümmern uns nicht darum was Sie tunen. Wir müssen nur verdienen. Sollten wir einfach nur bluffen, würde niemand an uns zahlen. Wenn Sie unser Angebot ablehnen, werden Sie alle Ihre Daten für immer verlieren. Wie viel Zeit werden Sie brauchen um ihre Daten selber zu ersetzen ? Sie können es sich schon denken. <h2> Unsere Forderungen </h2> <ul> <li><a href="https://torproject.org" target="_blank">Holen Sie sich den TOR-Browser hier</a></li> <li><a href="http://ebwexiymbsib4rmw.onion/chat.html?6a1dcf2506-24d447c336-052b4f4dd4-a66e12e526-918eb97c22-28ca2d80dd-df62bf2289-ba05daa71c">Gehen Sie auf unsere Website</a></li> </ul>`, fr: `<h2> Qu'est-ce qui vient de se passer? </h2> Nous avons crypté vos documents et fichiers et vous ne pouvez pas y accéder. Chaque attaque est accompagnée d'une copie des informations commerciales. Pour vous assurer que nous ne bluffons pas. Voulez-vous les restaurer? Faites juste ce que nous vous demandons, pour nous payer. Si vous ne suivez pas nos recommandations, vous ne verrez plus jamais vos fichiers. En cas de refus de paiement - les données seront soit revendues à des concurrents, soit diffusées dans des sources ouvertes. GDPR. Si vous ne voulez pas nous payer, payez x10 fois le gouvernement. <h2> Qu'en est-il des garanties? </h2> Nous faisons nos propres affaires et ne nous soucions jamais de ce que vous faites. Tout ce dont nous avons besoin est de gagner de l'argent. Si nous devions être injustes, personne ne travaillerait avec nous. Donc, si vous abandonnez notre offre, nous ne prendrons aucune infraction, mais vous perdrez toutes vos données et vos fichiers. Combien de temps faudrait-il pour récupérer les pertes? Vous pouvez seulement deviner. <h2> Comment puis-je accéder au site web? </h2> <ul> <li><a href="https://torproject.org" target="_blank">Téléchargez le navigateur TOR ici</a></li> <li><a href="http://ebwexiymbsib4rmw.onion/chat.html?6a1dcf2506-24d447c336-052b4f4dd4-a66e12e526-918eb97c22-28ca2d80dd-df62bf2289-ba05daa71c">Allez sur notre site web</a></li> </ul>`, es: `<h2> ¿Lo que de pasar? </h2> Ya tenemos sus documentos y archivos encriptados y usted no puede acceder a ellos. Para asegurarse de que no estamos faroleando. ¿Quiere recuperarlos? Sólo haga lo que le indicamos. Si usted no sigue nuestras recomendaciones, usted nunca verá sus archivos. Durante cada ataque, copiamos los datos comerciales valiosos. Si el usuario no nos paga, enviaremos estos datos a sus rivales o los publicaremos. GDPR. No quiere pagarnos, paga 10 veces más al gobierno. <h2> ¿Qué pasa con las garantías? </h2> Estamos haciendo nuestro propio negocio y nunca nos importa lo que hace usted. Todo lo que necesitamos es ganar. Hay que ser injustos chicos, nadie trabajaría con nosotros. Entonces, si deja caer nuestras propuestas, no nos ofenderemos pero usted perderá todos sus datos y archivos. ¿Cuánto tiempo se requiere para recuperar las pérdidas? Sólo usted puede adivinar. <h2> ¿Cómo acceder al sitio web? </h2> <ul> <li><a href="https://torproject.org" target="_blank">Obtenga el navegador TOR aquí</a></li> <li><a href="http://ebwexiymbsib4rmw.onion/chat.html?6a1dcf2506-24d447c336-052b4f4dd4-a66e12e526-918eb97c22-28ca2d80dd-df62bf2289-ba05daa71c">Vaya a nuestro sitio web</a></li> </ul>`, jp: `<h2> 何があったのですか? </h2> ドキュメントとファイルを暗号化しました。 それらにアクセスすることはできません。 ブラフしないようにするには、 ファイルをチェックアウトして、すべてが。 それらを回復したいですか? ただや る 指示すること。 指示に従わない場合、ファイルは二度と表示されません。 各攻撃中に、貴重な商用データをコピーします。 ユーザーが当社に支払わない場合は、それらのデータをライバルに送信するか、公開します。 <h2> 何が保証されますか ? </h2> 私たちは私たち自身のビジネスを行っており、あなたが何をするかを気にしません。 必要なのは稼ぐことだけです。 私たちが不公平な人である場合、誰も私たちと一緒に働くことはありません。 ですから、あなたが私たちの申し出をやめても、私たちは何の罪も犯しません すべてのデータとファイルが失われます。 損失を回復するのにどれくらい時間がかかりますか? 推測するだけです。 <h2> Webサイトにアクセスするにはどうすればよいですか? </h2> <ul> <li><a href=" https://torproject.org " target="_blank">ここで TORブラウザを入手 </a></li> <li><a href="http://ebwexiymbsib4rmw.onion/chat.html?6a1dcf2506-24d447c336-052b4f4dd4-a66e12e526-918eb97c22-28ca2d80dd-df62bf2289-ba05daa71c">当社のウェブサイトにアクセス </a></li> </ul>` }; function sel_lang(event) { let active = document.getElementsByClassName('is-active')[0]; active.classList.remove('is-active'); event.target.parentElement.classList.add('is-active'); let lang = event.target.getAttribute('data-lang'); let el = document.getElementById('text'); el.innerHTML = text[lang]; } document.addEventListener("DOMContentLoaded", ()=>{ let el = document.getElementById('text'); el.innerHTML = text['en']; }); </script> </head> <body class='pt-6'> <div class='container'> <div class="tabs is-toggle"> <ul> <li class="is-active"><a onclick='sel_lang(event);' data-lang='en'>EN</a></li> <li class=""><a onclick='sel_lang(event);' data-lang='de'>DE</a></li> <li class=""><a onclick='sel_lang(event);' data-lang='fr'>FR</a></li> <li class=""><a onclick='sel_lang(event);' data-lang='es'>ES</a></li> <li class=""><a onclick='sel_lang(event);' data-lang='jp'>JP</a></li> </ul> </div> <div class='box'> <div id='text'></div> <div style='border: 1px solid red; padding: .5rem; font-size: 1.3rem; font-weight: 500; margin: 3rem 0;'> <div class='title is-4'> In case you decide not to cooperate, your private data will be published <a style='color: #46a049; text-decoration: underline;' target='_blank' href='http://nbzzb6sa6xuura2z.onion/'>here</a> or sold. </div> </div> <div style='margin-top: 2rem;'> <h2>Offline how-to</h2> <p>Copy & Paste this secret message to <a href="http://ebwexiymbsib4rmw.onion">this page</a> textarea field</p> <p><blockquote>11b1072e3743d7079a5c869d0f2d3f0093f4220c66246229f9bb473792e81c1ded4a3d6a53005f00d24e22bed20ca3db</blockquote></p> </div> </div> </div> </body> </html>������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������

Signatures

  • SunCrypt Ransomware

    Family which threatens to leak data alongside encrypting files. Has claimed to be collaborating with the Maze ransomware group.

  • Blocklisted process makes network request 2 IoCs
  • Modifies extensions of user files 2 IoCs

    Ransomware generally changes the extension on encrypted files.

  • Drops startup file 1 IoCs
  • Enumerates connected drives 3 TTPs 23 IoCs

    Attempts to read the root path of hard drives other than the default C: drive.

  • Suspicious behavior: EnumeratesProcesses 5 IoCs
  • Suspicious use of AdjustPrivilegeToken 5 IoCs
  • Suspicious use of WriteProcessMemory 13 IoCs

Processes

  • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    powershell.exe -ExecutionPolicy bypass -File C:\Users\Admin\AppData\Local\Temp\RansomwareSamples\SunCrypt_26_01_2021_1422KB.ps1
    1⤵
    • Suspicious behavior: EnumeratesProcesses
    • Suspicious use of AdjustPrivilegeToken
    • Suspicious use of WriteProcessMemory
    PID:4588
    • C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe
      "C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Admin\AppData\Local\Temp\stanmaao\stanmaao.cmdline"
      2⤵
      • Suspicious use of WriteProcessMemory
      PID:408
      • C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe
        C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\Admin\AppData\Local\Temp\RES9C.tmp" "c:\Users\Admin\AppData\Local\Temp\stanmaao\CSCF3E4ACB11A434B71B4B6319190A88938.TMP"
        3⤵
          PID:3720
      • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
        "C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" -ep bypass -file "C:\Users\Admin\AppData\Local\Temp\RansomwareSamples\SunCrypt_26_01_2021_1422KB.ps1"
        2⤵
        • Blocklisted process makes network request
        • Modifies extensions of user files
        • Drops startup file
        • Enumerates connected drives
        • Suspicious behavior: EnumeratesProcesses
        • Suspicious use of AdjustPrivilegeToken
        • Suspicious use of WriteProcessMemory
        PID:1996
        • C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe
          "C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Admin\AppData\Local\Temp\3b2an0h0\3b2an0h0.cmdline"
          3⤵
          • Suspicious use of WriteProcessMemory
          PID:684
          • C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe
            C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\Admin\AppData\Local\Temp\RES3846.tmp" "c:\Users\Admin\AppData\Local\Temp\3b2an0h0\CSC9868B8F9CA144AE8967DE9388464CB9A.TMP"
            4⤵
              PID:5056
      • C:\Windows\system32\vssvc.exe
        C:\Windows\system32\vssvc.exe
        1⤵
        • Suspicious use of AdjustPrivilegeToken
        PID:4292

      Network

      MITRE ATT&CK Enterprise v6

      Replay Monitor

      Loading Replay Monitor...

      Downloads

      • C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\powershell.exe.log

        Filesize

        2KB

        MD5

        2f57fde6b33e89a63cf0dfdd6e60a351

        SHA1

        445bf1b07223a04f8a159581a3d37d630273010f

        SHA256

        3b0068d29ae4b20c447227fbf410aa2deedfef6220ccc3f698f3c7707c032c55

        SHA512

        42857c5f111bfa163e9f4ea6b81a42233d0bbb0836ecc703ce7e8011b6f8a8eca761f39adc3ed026c9a2f99206d88bab9bddb42da9113e478a31a6382af5c220

      • C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

        Filesize

        1KB

        MD5

        ed300d32c4048bdafb7a6551c6f45f55

        SHA1

        a17b38ebe17ecc15bdc031ed6df9fe236f09c045

        SHA256

        7b32e7a1895ea4fb4853fa09854f4796f6b7f9ecf9acb6511971e14f0f6c2c66

        SHA512

        d013bbc6eb2c99ae43433788d1fc21135aa42c0b82a324a8616b7c89ba57808125f27e5b7c6738ba803f2836124b0ab820c1d7e707cdd3bd5b8d5e2fb985de7f

      • C:\Users\Admin\AppData\Local\Temp\3b2an0h0\3b2an0h0.dll

        Filesize

        3KB

        MD5

        eb02993eb865ad9672a65957af20ca6c

        SHA1

        96de706e891101d5e858f71fbe289d6e78d69f78

        SHA256

        8ebffeeea832c43c0ef37d27a978e72eba7ea065478bb0206a211a8fa6edede0

        SHA512

        fa5adcb7b0b1ad42920b0f42f2ab50236cbf10296ff50308bbc054269a2be17022e82b265121b23515a7ba2995515d300018cc4cf318801de9085cd8c9915d72

      • C:\Users\Admin\AppData\Local\Temp\RES3846.tmp

        Filesize

        1KB

        MD5

        bf6ae2cc22f11fb23edabcb2ae3e0eae

        SHA1

        f8ebf3264db270ceea0a9e8e1e90827d874b41a4

        SHA256

        ee6b5c87bce4c2a47162a2e9421a66ae90e3ce88829db5d66dffb78d1d785ff6

        SHA512

        7eeadeda9b8eebd2a6a658994cb686abfb4115fd475f2442ba4e336bbd76f3f7d53dcf06e78096b1849aca1723d6b96c1344cbfd8f8ff8c6f965b577d3e1d097

      • C:\Users\Admin\AppData\Local\Temp\RES9C.tmp

        Filesize

        1KB

        MD5

        21df3a82385d039d47bfcb41fa31b2f6

        SHA1

        641b0191c12089f31f7d509eebdac1d503da15d8

        SHA256

        c338486f7b4d45b27ebe1703f6b6649943813fee656a7128b24d013c8305dc94

        SHA512

        ce1194a2c98adae40ad1b81557cdb50537e2db6996d1591b1e66169ed21244a99e5d4dca9fe265cc88851bce2d82c2c8bb5f47c8c810170e3af0240b0458b256

      • C:\Users\Admin\AppData\Local\Temp\stanmaao\stanmaao.dll

        Filesize

        3KB

        MD5

        18ce864152cb59ce1ca98d2e83f36577

        SHA1

        59996313552b82b6a515aea9648184c8bd5ff5fa

        SHA256

        df5af065a8d834a038be012aacfb7bd681a287596725b124158f6d690ff65b2d

        SHA512

        a1225e7422b1c97d13d5484d9c3a45cfa2d2e0166f8999a93351532ac699747242c7d676f46b6dcf6e8346d68c9b35eb7a066fccfaab635153c7db4124d40f54

      • \??\c:\Users\Admin\AppData\Local\Temp\3b2an0h0\3b2an0h0.0.cs

        Filesize

        468B

        MD5

        dd2cc0b4262792dc14aec5ef06de3a76

        SHA1

        67570a16a565e0f28ac7ba668f32447a73d99085

        SHA256

        b6fb47c22e33bade63b9670bf283445980f3025566eda037b10412394e3470bd

        SHA512

        b4ffff41ab48de3c59c132b1513fe64863d6cce5d0171b80d480a59d6614fcfb74adf3a268fc005f816dee3ff0a3844db4b666d1a2107347dd65bb50fd56eb64

      • \??\c:\Users\Admin\AppData\Local\Temp\3b2an0h0\3b2an0h0.cmdline

        Filesize

        369B

        MD5

        f6fe122bc2457e8dd9803ed58a641765

        SHA1

        10a5c43e3d3236ee163495cb46a42f2b5ace489d

        SHA256

        8efa5602ab735af3deeddf832932a716a759a91a93283b5d9800d4b022c69b71

        SHA512

        8cd1d67df64fc506781b3ff673b1740d6d34c551d387230dc0ae2812ffd4dabad34a8b8f5f5e29f01b711397111d04b98b4cadf970360150eedbb01b876dc571

      • \??\c:\Users\Admin\AppData\Local\Temp\3b2an0h0\CSC9868B8F9CA144AE8967DE9388464CB9A.TMP

        Filesize

        652B

        MD5

        82d77b3d1e31e8d2ce862bbb372195c5

        SHA1

        6338c06d619d6f8b3d1c838173142b4610b948a0

        SHA256

        9eaca00c4d26d312afcf5805c47f266a683ea558f61b69ad4afae8e2eab18106

        SHA512

        99c38e03b30b8861d8f0d3b124ea1e2e7025b7ec99894cf20d98ba237ead0018a93b5c22c72d169e74888eb70c00a1b45ff43f41154e2143198df569c6cc8a72

      • \??\c:\Users\Admin\AppData\Local\Temp\stanmaao\CSCF3E4ACB11A434B71B4B6319190A88938.TMP

        Filesize

        652B

        MD5

        5ca7301a45112d6d7a34885a4608e338

        SHA1

        0e22a16d087e501658ac3e8ee44c256651d98202

        SHA256

        19b1cf806d23d31cae4a92df60cf9dcce81b29d65e6ac68395648dc71732e0aa

        SHA512

        c99a8ef7810759f6576de784dbedb74a1364ccbdac7d8a6cfa8caf253525fd8860203e7f31adbae870f3cd05a93029a5f8f0e05a9b34282e9ae34a40b526ab19

      • \??\c:\Users\Admin\AppData\Local\Temp\stanmaao\stanmaao.0.cs

        Filesize

        468B

        MD5

        dd2cc0b4262792dc14aec5ef06de3a76

        SHA1

        67570a16a565e0f28ac7ba668f32447a73d99085

        SHA256

        b6fb47c22e33bade63b9670bf283445980f3025566eda037b10412394e3470bd

        SHA512

        b4ffff41ab48de3c59c132b1513fe64863d6cce5d0171b80d480a59d6614fcfb74adf3a268fc005f816dee3ff0a3844db4b666d1a2107347dd65bb50fd56eb64

      • \??\c:\Users\Admin\AppData\Local\Temp\stanmaao\stanmaao.cmdline

        Filesize

        369B

        MD5

        7b3d815be2b92598c12cfe68cae8ea49

        SHA1

        54861119966aa91dc86c6c7f722b71f5b0888160

        SHA256

        5699ae091eb4ee54b814ca64e28867b919297761390e7764e4561f8b4a9d04b0

        SHA512

        008579cff8d30bd0e0393a7f52eca3d9cf588b2931be56f242d188916a1edd41683292cce9be0cd063efd0886d66b70782491466a8a38ae7d96239c536c671a9

      • memory/1996-150-0x0000000009280000-0x00000000098FA000-memory.dmp

        Filesize

        6.5MB

      • memory/1996-143-0x0000000004690000-0x00000000046C6000-memory.dmp

        Filesize

        216KB

      • memory/1996-161-0x0000000008C00000-0x000000000927A000-memory.dmp

        Filesize

        6.5MB

      • memory/1996-149-0x0000000005A90000-0x0000000005AAE000-memory.dmp

        Filesize

        120KB

      • memory/1996-146-0x0000000005440000-0x00000000054A6000-memory.dmp

        Filesize

        408KB

      • memory/1996-151-0x0000000008C40000-0x0000000008C5A000-memory.dmp

        Filesize

        104KB

      • memory/1996-145-0x00000000053A0000-0x00000000053C2000-memory.dmp

        Filesize

        136KB

      • memory/1996-160-0x0000000008C00000-0x000000000927A000-memory.dmp

        Filesize

        6.5MB

      • memory/1996-144-0x0000000004D00000-0x0000000005328000-memory.dmp

        Filesize

        6.2MB

      • memory/1996-147-0x0000000005520000-0x0000000005586000-memory.dmp

        Filesize

        408KB

      • memory/4588-142-0x00007FFB85B20000-0x00007FFB865E1000-memory.dmp

        Filesize

        10.8MB

      • memory/4588-132-0x000001FFBB650000-0x000001FFBB672000-memory.dmp

        Filesize

        136KB

      • memory/4588-133-0x00007FFB85B20000-0x00007FFB865E1000-memory.dmp

        Filesize

        10.8MB