2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d

Analysis

max time kernel
154s
max time network
56s
platform
windows7_x64
resource
win7-20221111-en
resource tags

arch:x64arch:x86image:win7-20221111-enlocale:en-usos:windows7-x64system
submitted
05/12/2022, 23:08

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe
Size

328KB
MD5

72d71104a3c0b1fec3e0d7a85a38c154
SHA1

eedbab8dd830d16f4d2a82dda5aa719ed07bf722
SHA256

2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d
SHA512

9cd5b7cf6ba7f65b55c2bc818074017f75546250ee7b3553c449ffc67bf0435b84006930d000203db5ccbbc84f381a3bc372dea383225a7bf0be1f5982f1a0ed
SSDEEP

3072:R3EaE31dpYN/UpD+cu5p0fZahWA69l2zzk1wV4Ghq4ibRSioBEtazeV5bo9:R3HIrpYdWD+cZ1wV4lo6tazeVU

Score

10^/10

evasion persistence

Malware Config

Signatures

Modifies visiblity of hidden/system files in Explorer 2 TTPs 2 IoCs

evasion

Hidden Files and Directories

T1158

Modify Registry

T1112

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	vuoraa.exe

Executes dropped EXE 1 IoCs

pid	Process
860	vuoraa.exe

Loads dropped DLL 2 IoCs

pid	Process
564	2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe
564	2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe

Adds Run key to start application 2 TTPs 51 IoCs

persistence

Registry Run Keys / Startup Folder

T1060

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /C"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /e"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /i"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /W"	vuoraa.exe
Key created	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\	2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe
Key created	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /p"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /m"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /F"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /k"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /V"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /c"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /y"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /P"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /h"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /s"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /o"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /d"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /z"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /w"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /u"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /x"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /G"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /E"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /X"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /H"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /I"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /U"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /j"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /f"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /Z"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /L"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /T"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /J"	2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /Q"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /Y"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /N"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /q"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /a"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /B"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /A"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /v"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /M"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /b"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /g"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /J"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /t"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /S"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /K"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /R"	vuoraa.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3385717845-2518323428-350143044-1000\Software\Microsoft\Windows\CurrentVersion\Run\vuoraa = "C:\\Users\\Admin\\vuoraa.exe /r"	vuoraa.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
564	2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe
860	vuoraa.exe

Suspicious use of SetWindowsHookEx 2 IoCs

pid	Process
564	2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe
860	vuoraa.exe

Suspicious use of WriteProcessMemory 4 IoCs

description	pid	Process	procid_target
PID 564 wrote to memory of 860	564	2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe	28
PID 564 wrote to memory of 860	564	2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe	28
PID 564 wrote to memory of 860	564	2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe	28
PID 564 wrote to memory of 860	564	2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe	28

C:\Users\Admin\AppData\Local\Temp\2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe
"C:\Users\Admin\AppData\Local\Temp\2c1a093a21f6f21cb4e0f28a09e2ff218354eb9faf38baa7c0fd892a64a87d7d.exe"
1⤵
- Modifies visiblity of hidden/system files in Explorer
- Loads dropped DLL
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:564
- C:\Users\Admin\vuoraa.exe
  "C:\Users\Admin\vuoraa.exe"
  2⤵
  - Modifies visiblity of hidden/system files in Explorer
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of SetWindowsHookEx
  PID:860

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Hidden Files and Directories

T1158

Registry Run Keys / Startup Folder

T1060

Privilege Escalation

Defense Evasion

Hidden Files and Directories

T1158

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\vuoraa.exe

Filesize
328KB

MD5
460e2f9c6b65f4da6e1200711531bbeb

SHA1
75af1cd9b3804235d88982c7e58d233127301501

SHA256
7a66e1d0d6823f282509b9ec87ab1aef079216fa5ab3c09625db223059b0c4f9

SHA512
744c05c756420ce7ece8680f60aa5c2d63ebb5a8773ce14fee1b42585daae7cc63fc70d7aad9fc1affc92db1a05d3185442eff0a9f1673e5830e4a29be1c0f53

Download Submit
C:\Users\Admin\vuoraa.exe

Filesize
328KB

MD5
460e2f9c6b65f4da6e1200711531bbeb

SHA1
75af1cd9b3804235d88982c7e58d233127301501

SHA256
7a66e1d0d6823f282509b9ec87ab1aef079216fa5ab3c09625db223059b0c4f9

SHA512
744c05c756420ce7ece8680f60aa5c2d63ebb5a8773ce14fee1b42585daae7cc63fc70d7aad9fc1affc92db1a05d3185442eff0a9f1673e5830e4a29be1c0f53

Download Submit
\Users\Admin\vuoraa.exe

Filesize
328KB

MD5
460e2f9c6b65f4da6e1200711531bbeb

SHA1
75af1cd9b3804235d88982c7e58d233127301501

SHA256
7a66e1d0d6823f282509b9ec87ab1aef079216fa5ab3c09625db223059b0c4f9

SHA512
744c05c756420ce7ece8680f60aa5c2d63ebb5a8773ce14fee1b42585daae7cc63fc70d7aad9fc1affc92db1a05d3185442eff0a9f1673e5830e4a29be1c0f53

Download Submit
\Users\Admin\vuoraa.exe

Filesize
328KB

MD5
460e2f9c6b65f4da6e1200711531bbeb

SHA1
75af1cd9b3804235d88982c7e58d233127301501

SHA256
7a66e1d0d6823f282509b9ec87ab1aef079216fa5ab3c09625db223059b0c4f9

SHA512
744c05c756420ce7ece8680f60aa5c2d63ebb5a8773ce14fee1b42585daae7cc63fc70d7aad9fc1affc92db1a05d3185442eff0a9f1673e5830e4a29be1c0f53

Download Submit
memory/564-56-0x0000000075F51000-0x0000000075F53000-memory.dmp

Filesize
8KB

Download