Resubmissions

09-06-2023 05:15

230609-fxp7xaba63 10

08-06-2023 08:30

230608-kemfhsdc24 10

General

  • Target

    https://github.com/Vichingo455/MalwareDatabase

  • Sample

    230609-fxp7xaba63

Malware Config

Extracted

Path

C:\Users\Admin\AppData\Local\Temp\NitroGen\NitroRansomware.exe

Ransom Note
MZ��������������������@������������������������������������������ �!�L�!This program cannot be run in DOS mode. $�������PE��L���؀����������"� 0������������r��� �������@�� ������������������������������`������������������������������O������ ���������������������� ���p��8�������������������������������������������� ������������� ��H�����������.text���x��� �������������������� ��`.rsrc��� �������������������������@��@.reloc�� ����������r�������������@��B����������������Q������H������K���G����&��0���@\�����������������������������������������0�������(��  +@� ~��o�� -+~��r��p(�� o��~��o�� ~��(��X �i2�(�� + �(��X �i2��~��o�� o"����*�������yy���0�������(��  +H� (��,8~��r��p(�� o��o�� ~��o�� Yo�� ~��(��X �i2�(�� + �(��X �i2��~��o�� o"����*�������������~��o�� ,/o�� ~��o�� Y~��o�� o�� ~��(�� ,**�0�[���� �H�� s��  + o��  X   2�o�� ~��(�� s�� ( �� o!�� s"��  ���o#��  ����o$�� o%��  P���s&�� o'�� [o(�� o)�� o*�� [o(�� o+�� o,�� �io-�� o.�� s/�� s��  ����H��+  o-�� �io0�� % 0�o1�� �J ~�� o�� o"���5~��r5��p(�� o ��~��X���o1�� o1�� (2�� �*�������+�����@%5����0�S����( �� o!��  �H�� s�� �io0�� &s"�� ���o#�� ����o$��  P���s&��   o'�� [o(�� o)��  o*�� [o(�� o+�� o%�� o,��  o3�� s/�� s��  ����H��+ o-�� �io0�� %0��4 ~��rI��p o�� (�� o"��� ~�� o�� o"�����o1�� ~��r���p(�� o ���- ~��r���p o�� (�� o"���o1�� o1�� �*�4������$��������$������%���=D����(4�� *����r���ps�����r���p���~1�����s5�� ���*��0������(6�� %o7�� ���`o8�� *�}��~0��s:��} ��(9�� (��*0�������s:�� }��{��#�����@�@o;�� {�����s<�� o=�� {��o>�� {��r�po?�� ~��o@�� +)�(A�� {��%oB�� r�pr�p(C�� o?�� �(D�� -������oE�� �*������\�6������0���������(��9����{��~��o?�� {��r%�po?�� {��(F�� oG�� {��r�po?�� {��r�po?�� {��#'*(H�� oI�� {��rO�po?�� {��oJ�� *���0�������{��oB�� ~��(�� ,\{ ��r��po;��~�����{��r��po?�� (K�� (L�� ()��(M�� (L�� r��pr9�p@(N�� &(+��*r[�pr9�p(N�� &*"(O�� *"(O�� *Frs�pr��p(P�� &**Frs�pr��p(P�� &**"(O�� *0�������~0��s:�� {��oB�� ~Q�� (R�� r��po�� 9����r��po�� ,r��poS��  XoT�� (R�� +r��poS�� XoT�� (#��,'r��po;��o;��r5�pr9�p@(N�� &*r[�po;��r��pr9�p(N�� &+r[�po;��r��pr9�p(N�� &*R���sU�� (V�� &*z,{ ��, { ��oE�� (W�� *��0��� ��sX�� } �����(Y�� sZ�� s[�� } ��s\�� }��s]�� }��s\�� }��s\�� }��s^�� }��s^�� }��s\�� }��s_�� }��s\�� }��s]�� }��s\�� }��s_�� }��s]�� }��s]�� }��s\�� }��s\�� }��s]�� }��s^�� }��s\�� } ��{ ��s`�� }!��{ ��sa�� }"��sb�� }#��sc�� }$��sb�� }%��{��od�� {��od�� {"��od�� (d�� {��oe�� {��r^�p"���Asf�� og�� {��(h�� oG�� {��!si�� oj�� {��sk�� ol�� {��r��pom�� {�� ���.sn�� oo�� {��op�� {��r��po?�� {��#'*(H�� oI�� {��oq�� {��r��p"��Asf�� og�� {��(r�� oG�� {�� �� ����si�� oj�� {��ss�� ol�� {��ot�� {��r��pom�� {��ou�� {��ov�� {�� ��� ���sn�� oo�� {��op�� {��ow�� {��r �pox�� o?�� {��oy�� {�����sz�� o{�� {��oe�� {��r��p"��dAsf�� og�� {��(|�� oG�� {�� ���vsi�� oj�� {��sk�� ol�� {��r&�pom�� {��8 sn�� oo�� {��op�� {��r4�po?�� {�����sz�� o}�� {��oe�� {��r��p"��dAsf�� og�� {��(|�� oG�� {�� ����vsi�� oj�� {��sk�� ol�� {��r>�pom�� {�� ���� sn�� oo�� {��op�� {��rL�po?�� {��#'*(H�� oI�� {��(~�� oG�� {���si�� oj�� {��ss�� ol�� {��rj�pom�� {�� 4��'sn�� oo�� {��op�� {��#'*(H�� oI�� {��o�� {��o��� {��(~�� oG�� {��tsi�� oj�� {��ss�� ol�� {��rx�pom�� {�� 1��Rsn�� oo�� {��op�� {��oe�� {��r��p"���Asf�� og�� {��(|�� oG�� {�� ���� E��si�� oj�� {��sk�� ol�� {��r��pom�� {�� ����sn�� oo�� {�� op�� {��r��po?�� {��(��� oI�� {��o��� {�� ��� m��si�� oj�� {��ss�� ol�� {��r��pom�� {��dsn�� oo�� {�� op�� {��r��po?�� {��o��� {��� ��sz�� o}�� {��oe�� {��r��p"���Asf�� og�� {��(|�� oG�� {�� ���� ���si�� oj�� {��sk�� ol�� {��r��pom�� {�� ����sn�� oo�� {�� op�� {��r��po?�� {��#'*(H�� oI�� {��oq�� {��(��� oG�� {��^ ���si�� oj�� {��ss�� ol�� {��r,�pom�� {��ou�� {�� ��sn�� oo�� {�� op�� {��ow�� {��r>�po?�� {��oe�� {��r��p"�� Asf�� og�� {��(|�� oG�� {�� ��� T��si�� oj�� {��sk�� ol�� {��rz�pom�� {��gsn�� oo�� {�� op�� {��r��po?�� {��(��� oI�� {��o��� {�� u�� ���si�� oj�� {��ss�� ol�� {��r��pom�� {��dsn�� oo�� {��op�� {��r��po?�� {��o��� {��� ��sz�� o}�� {��#'*(H�� oI�� {��oq�� {��(��� oG�� {��^ m��si�� oj�� {��ss�� ol�� {��r��pom�� {�� ��sn�� oo�� {��op�� {��ow�� {��r��po?�� {��#'*(H�� oI�� {��oq�� {��(��� oG�� {�� U�� ���si�� oj�� {��ss�� ol�� {��r��pom�� {�� ��sn�� oo�� {��op�� {��ow�� {��r �po?�� {��oe�� {��r��p"���Asf�� og�� {��(|�� oG�� {�� Q�� ���si�� oj�� {��sk�� ol�� {��r �pom�� {�� ��sn�� oo�� {��op�� {��r �po?�� {��oe�� {��r��p"�� Asf�� og�� {��(|�� oG�� {�� ���� ���si�� oj�� {��sk�� ol�� {��rn �pom�� {��&sn�� oo�� {��op�� {��r| �po?�� {��#'*(H�� oI�� {��oq�� {��r��p"ff�@sf�� og�� {��(r�� oG�� {��/ ���si�� oj�� {��ss�� ol�� {��ot�� {��r� �pom�� {��ou�� {��o��� {�� ���sn�� oo�� {��op�� {��ow�� {��(��� oI�� {��o�� { ��o��� {��/ ����si�� oj�� {��ss�� ol�� {��r� �pom�� {�� ��� ����sn�� oo�� {��op�� { ��oe�� { ��r^�p"��HBsf�� og�� { ��(��� oG�� { ��:si�� oj�� { ��sk�� ol�� { ��r� �pom�� { �� p��_sn�� oo�� { ��op�� { ��r� �po?�� { �����sz�� o}�� {!��{"��o��� {!��r� �po��� ts��o��� {!��r9�po��� {!��o��� {!�����s��� o��� {"��sn�� o��� {"��o��� �w��%{#���%{$���%{%���o��� {"��r� �pom�� {"�� ����:sn�� oo�� {#��r� �po��� {#�� ����sn�� o��� {#��r �po��� {#��� ��sz�� o��� {$��r, �po��� {$�� ����sn�� o��� {%��rT �po��� {%�� ����sn�� o��� {%��rT �po��� {%�����sz�� o��� "���A"���As��� (��� (��� ,/3(H�� oI��  +�� ���sn�� (��� (��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (�� {��o��� (��� oG�� (��� r^ �po��� ts��(��� ss�� (��� (��� rt �p(m�� (��� (��� r� �po?�� (��� � ��sz�� (��� {��o��� {��o��� {��o��� {��o��� {"��o��� (��� (��� *��0���������{ ��/@;} ��{ ��- ;} ��{��,.{��Y}��+{ ��Y} ��+{ ��Y} ��{ ��-{ ��-{��&{ ��r� �p|��(��� 0o��� | ��(��� 0o��� | ��(��� 0o��� (��� o?�� *���0����� ��(��� (��� ~&��r� �p(�� o�� ~&��r� �p(�� o�� ~&��r� �p(�� o�� ~&��r� �p(�� o�� ~&��r< �p(�� o�� ~&��r~ �p(�� o�� ~&��r� �p(�� o�� *0�<�� ��(��s5�� ~&��o@�� 8��(A�� (��� 9����r, �p(�� s��� rZ �po��� 8�����o��� o��� rf �p(��� o���  + o��� t/��  o��� o��  o��� -�� u0��  , oE�� �r� �p(��� o���  + o��� t/��  o��� o��  o��� -�� u0��  , oE�� �X�i?:���(D�� :��������oE�� �*AL���������(���������������������(����������������������,���������(4�� *.s5�� �&��*�(4�� (��� }'��r� �p}(��})��}*��*��0�9�� ��{*��3\{'��{(��(�� (��� r� �p(��� r� �p(��� (��� (�� o��� r �po��� �����,oE�� �{*��-5r� �p(��� r� �p(��� (��� (�� (��� r �p(��� *{'��{(��(�� (��� r� �p(��� r� �p(��� (��� (�� o��� r �po��� � ,oE�� �r� �p(��� r� �p(��� (��� (�� (��� r �p(��� *������ �;[� �������<�� ����~{)��r���p(�� , r���p(��*�{)��r���p(�� , r �p(��*{)��r �p(�� , r �p(��*~{)��r �p(��� , r �p(��*6r �p(��*���0�P��� ��s��� r, �pr� �p(��� ~+��o��o��� o��� o��� ���. � � ,oE�� � *����>D� ����(4�� *Fr���ps���+��*��0�@�������(-��, s ��(��� *(,��(*��('��((��(.�� p��(��� s ��(��� *0�(����(��� o��� (��� (��� r� �p(��� &~2��r�po��(�� r�p o@�� +(A�� r �p(��� (D�� -�����oE�� �(R�� (2�� (1��(3��~0��s:�� �G��%r&�p�% o��� �%r��p�% o��� �%r��p�%�%r��p�%�%r��p�(��� o;��r��p~1��r��p(��� o;��r��pr��p(��� o;��*���D�$h�����0�������~3��r �po;��~=��%-&~<���C��s��� %�=��s��� ~>��%-&~<���D��s��� %�>��s��� ~?��%-&~<���E��s��� %�?��s��� ~@��%-&~<���F��s��� %�@��s��� o��� o��� o��� o��� o��� o��� o��� o��� ~3��rN�p~��o��� �}��(��� o;��(7��*0�������~A��%-&~<���G��s��� %�A��s��� ~B��%-&~<���H��s��� %�B��s��� ~C��%-&~<���I��s��� %�C��s��� ~D��%-&~<���J��s��� %�D��s��� o��� o��� o��� o��� o��� o��� o��� o��� *���0�������(��� o��� (��� (��� (��� o��� r��p(�� r��p(��� (R�� ~��� r��po��� rW�pr]�pr]�p(��� o��� � , oE�� ��~2��o�� o"����*�����O�l� ��������xx���0�v�����(��� o��� (��� (��� ra�p(��� &ry�prW�p����(��� ,=~��� r��po��� r�p(��� &r\�pr9�p(P�� &(��� � ,oE�� �*�����I�"k� ����0�R�����(��� o��� r��p(�� (��� (��� (��� (�� (��� (��� (R�� � ~2��o�� o����*��������>>���Zr��prW�p(��� ,**�0�5�����(��� r�p(�� (R�� s��� ~1��o��� � ,oE�� �*������� *� ����(4�� *0�b�������(��� �,��(��� �-��'(��� �.��(��� �/��r#�p�0��r�p�1��r���ps���2��~0��s:���3��*��0�T�����~Q�� rT�psK�� rd�poM�� ����% �o��� � � ,oE�� �� ~4�� o�� o"����*����"3� �������9?���0�,�����s5�� r��p(��� r��p(��� o�� o�� *0�U�����~Q�� s��� r��po��� o��� o��� o��� o��� � ,oE�� ��~4��o�� o"����*������ �&2� �������8>���(4�� *Fr���ps���4��*��0�D�����(��� r��p(�� �8��(@��~8��o��� ~5��~8��~6��~7��`(6��&*(4�� *R�5���6���7��*:(4�� }9��*0�j�����s��� %r �po��� %r�pr,�po��� %rH�pr^�po��� s��� {9��s��� o��� o��� (��� &� ,oE�� ��&��*�����8�"Z� ������2�4f���(4�� *0�-�����~:��- r��p� ��(Y�� o��� s��� �:��~:��*~;��*�;��*0������(=��r�p~;��o��� tC��*.sB���<��*(4�� *.~-��(��*.~.��(��*.~,��(��*.~/��(��*.~-��(��*.~.��(��*.~,��(��*.~/��(��*0�������(4�� s��� }E��s��� }G��~Q�� }H��s��� o��� o��� o��� o��� o��� {E���N��s��� o��� {E��o��� {E��o��� &{E��o��� }F��{E��o��� *�{E��o��� {E��o��� {F��o��� {F��o��� *�~Q�� }H��{F��o��� {F��r�po��� {G��o��� &{H��*��0�D�������o��� ,o��� r.�p(�� , {G��o��� &*{H��o��� (�� (��� }H��*BSJB������ ���v4.0.30319�����l������#~�����d��#Strings����T+��8��#US��@�����#GUID����@�����#Blob���������W� ����3���������� ���H���N���4�����������������������������������������������\ ������������������c �oc �Pc ��c ��c ��c ��c ����e��3c � ��w ������ w � �� ��.�����) ��� � �� ���&��� �t� �� � ��� �� � �� � � � ��� �e � �y� �}��;w G���� �6��&�M� �J�J�������� ���w ���'w �(����J����� ���� �^���� �9�� ��x�����s�����V;� F �md �� ��� �0��I w �+ w ����b�� ��~ ��k��������/ ��� ��w��r���& � ��^d �A� �r� �o� �� �� �� � �-��|w �\ w ��w ��� ��w �w ��d ��d ��d ��d � ��� d ��� ����4d �3���w W� �� ��� ��� ��� d ��� �z� �� � �W ��_d � � �T� ��� �� ��'w �Gw �$���������i��u �����!��8� � ���c �� ��:�� w ��w �����d ��������i�����]� �?� �)� ����9���������^�A��������e��������A�&����� �A�'�����X�A�+�#����F �A�,�&�����A�4�1������A�5�6����� �A�9�:����B�A�:�<�!����A�<�A������A�E�K��� �� �� ����� ����� �� ���Y��p��������������������������������������������������2����������������F��� ������W ����� ���� �����f��������s��B�� ��Y�� ��{�S�e����� ��� ��6�.� ��Z��-���'��x��K���I$�V)�9.���P ����������� �����������!����������!������V��t#������J3�%������� �%������� �H%�����y�� �o%������� ��%������: �T&������ : ��&������$ : ��'������S :��'������< :��'������G :��'������>:��'������ :��'������� :��'������d B��'�������@��(�������J��(����������(������S� �;������E�� ��;������� � ��<�������R �$>������� �,>������� �8>������Z �h>������D�"��?������� �$��?������S�%�+@������5 �&�K@������d�'�\@������� �(��@�������)��@�������)��@������� `)�0A��������*�tB������� �*�|C������� �*�PD������e�*�E������"�*��E��������*� F������xf*�$F��������*�xF�������*��F�������*��F������f�*�lG������aR*��G��������*�$H�������*�,H�������*�������� j*�@H��������.��H�������.��H�������.��H�������.��H��������/�PI�������0�XI�����9r0��I������x0��I��

Targets

    • Target

      https://github.com/Vichingo455/MalwareDatabase

    • Jigsaw Ransomware

      Ransomware family first created in 2016. Named based on wallpaper set after infection in the early versions.

    • Modifies firewall policy service

    • Modifies security service

    • Identifies VirtualBox via ACPI registry values (likely anti-VM)

    • Disables use of System Restore points

    • Modifies Installed Components in the registry

    • Modifies extensions of user files

      Ransomware generally changes the extension on encrypted files.

    • Registers new Print Monitor

    • Checks BIOS information in registry

      BIOS information is often read in order to detect sandboxing environments.

    • Checks computer location settings

      Looks up country code configured in the registry, likely geofence.

    • Executes dropped EXE

    • Identifies Wine through registry keys

      Wine is a compatibility layer capable of running Windows applications, which can be used as sandboxing environment.

    • Loads dropped DLL

    • Adds Run key to start application

    • Checks installed software on the system

      Looks up Uninstall key entries in the registry to enumerate software on the system.

    • Legitimate hosting services abused for malware hosting/C2

    • Maps connected drives based on registry

      Disk information is often read in order to detect sandboxing environments.

    • Writes to the Master Boot Record (MBR)

      Bootkits write to the MBR to gain persistence at a level below the operating system.

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v6

Tasks