General

  • Target

    8e65d1ce6e66ab7d6d173444b6a51f890bcd879ad93ecdc2b5d7be0560552d14.exe.exe

  • Size

    423KB

  • Sample

    230803-wtzvyafd32

  • MD5

    1dfcaaf6f77e1a2dc1d4c36305885518

  • SHA1

    e0709a17751bed96486182224fa0f75c261744cd

  • SHA256

    8e65d1ce6e66ab7d6d173444b6a51f890bcd879ad93ecdc2b5d7be0560552d14

  • SHA512

    b88e6d43e4f4a00f8530f1ac368b85de56ecbafa3bf6166706f2d93615bd9ad8dbe5b88dbc9ceb0f8abfaeadeb5b2476da3c33b1d45507bac06e05885f52dbac

  • SSDEEP

    12288:/OwUtVJHYwNzp4FNesBhSw6cHmpme/T57XZtjNDd6S7sQo:mDLJHYwN14FNesrSw6cs17pv7s

Malware Config

Extracted

Family

asyncrat

Botnet

Default

C2

127.0.0.1:6606

127.0.0.1:7707

127.0.0.1:8808

https://api.telegram.org/bot6619789910:AAF-IfEnG-ArIBd309Svx2H6WgdvGURvjwE/sendMessage?chat_id=6119127555

Mutex

AsyncMutex_6SI8OkPnk

Attributes
  • delay

    3

  • install

    false

  • install_folder

    %AppData%

aes.plain

Extracted

Path

C:\MSOCache\All Users\{90140000-0019-0409-0000-0000000FF1CE}-C\README_6102557.txt

Ransom Note
Hello! All your files have been encrypted... Your personal Id: BEXKh+FWtV4SoUJhkq4rBEHZR4qrZrN9uAqwMf69JyFQCQUrMs/MmSE8QaFXZ1bcuUIn2mAYQh1wzg4syU7GxqgJAroJ1lwOHLqil8ZCSZ6EPnXPPUBbJXkqSKJo6K0bUa/QCith/VRpGqDXDdxjNVIsrVpm/kqlAjlr7EwDtN+g7Opoe+Ns7F/g6XajAiqQrf1i17oePXZXsc4tJe/d752S473LkmegbNqKU8SPFtMkkQanmQRdbfcWQI5S0rg8gHVqDVbk6rM0iSRIDv0UExSD3S4a0H5BOXfcPP4JeATgVrQEL5aIcd+SWhpWgtxcfrQaqUGhzLPFpCsLhFrLLA==&ZW4tVVNfNjEwMjU1N19BZG1pbl84LzMvMjAyMyA2OjE1OjIwIFBNX1dpbiA3X2JscG9fdnpqQ3RUcg== Don't worry, you can return all your files! All your files, documents, photos, databases and other important files are encrypted by a strong encryption. Do not try restore files without our help, this is useless, and can destroy you data permanetly. However, the files can be recovered even after the removal of our program and even after reinstalling the operating system. Please You must follow these steps carefully to decrypt your files: Send $980 worth of bitcoin to wallet: bc1qzpa3j6qse5xfxft2xy7h2phq04wq9pk66lllz5 after payment,we will send you Decryptor software contact email: [email protected] ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������

Extracted

Path

C:\Users\Admin\AppData\Local\Temp\vzjCtTr.exe

Ransom Note
MZ��������������������@������������������������������������������ �!�L�!This program cannot be run in DOS mode. $�������PE��L��4�a����������  ������ ����������� �������@�� ��������������������@���������@����������������������������l���O������������������������� � ���4����������������������������������������������� ������������� ��H�����������.text�������� ��������������������� ��`.rsrc���������������������������@��@.reloc�� ���� ��������������������@��B������������������������H�����8����c�����)��XL���5������������������������������������������0�[����(�� }��( ��}��(�� o�� }��(�� }��(�� �*��o�� }��r��p}��(�� } ��(�� r ��p(�� }��H�,�� r��p� r'��p� r/��p� r9��p� rC��p� rC��p� rC��p� rM��p� rW��p�  ra��p�  rk��p�  ry��p�  r���p�  r���p� r���p� r���p� r���p� r���p� r���p� r���p� r���p� r���p� r���p� r���p� r���p� r�p� r �p� r �p� r �p� r�p� r�p� r)�p�  r3�p� !r=�p� "rG�p� #rQ�p� $r[�p� %re�p� &ro�p� 'ry�p� (r��p� )r��p� *r��p� +r��p� ,r��p� -r��p� .r��p� /r��p� 0r��p� 1r��p� 2r��p� 3r��p� 4r�p� 5r�p� 6r�p� 7r#�p� 8r-�p� 9r7�p� :rA�p� ;rK�p� <rY�p� =rc�p� >rm�p� ?rw�p� @r��p� Ar��p� Br��p� Cr��p� Dr��p� Er��p� Fr��p� Gr��p� }��}���,��r��p�}�� ( ��}��(�� s��  ��� '��o�� (�� (#��**���0�$�����s��  ��� N��o�� (�� (��*6{��o �� *��0�������(!�� o"��  (#�� +8� o"�� o$�� ,X 1(%�� (&�� ('�� �&��X�i2�r��p((�� o)�� (�����s*�� s+�� o,�� *����7�J���0�2���� �,��r��p�r��p�r��p�r�p�r�p�r �p�r�p�r�p�r�p� ( �� (�� (��+,( ��(%�� (&�� ('�� (�� (!�� o"��  ���  � r%�p� {��� r%�p� {��� r%�p� { ������ r%�p�  �  r%�p�  {���  r%�p�  � (.�� (��(��r)�p} ��{�� ���{ ��(��} ��(/�� o0�� (1�� } ��{ ��rj�p{ ��(2�� } ��{��{��{ ��(��{��  +0  �o3�� o�� {��{��(���&�� X   �i2�{��{��( ��(��(��}��(!��}��(&�� ( ��('�� *������� �9��0�(�����0 rn�ps4�� z, o5�� /*o6�� *0�,������;�� o7�� (8�� ���_  ���[Z/�]*0�K�����s9�� s:�� +!r��pr��po5�� ( ��o;�� o<�� &%Y�0�� ,o=�� �o�� *���� �.:� ����0�K�����s9�� s:�� +!r �pr �po5�� ( ��o;�� o<�� &%Y�0�� ,o=�� �o�� *���� �.:� ����0� �����(>�� o?�� *���0����� ��s'�� o(��o@�� 8����oA�� t,�� 9����oB�� o5�� >����(B�� ,yoC�� +OoA�� t�� o.��-: o�� \(��+,'r!�p(D�� ,r!�p(��+ (��oE�� -��u?��,o=�� �oE�� :M����u?��,o=�� ��&��*(���N�\����������������������A��"(F�� &*�������0����� �� �;��%�K��(H�� sI�� sJ�� oK�� ���oL�� ����oM��  ���sN��   oO�� [oP�� oQ��  oR�� [oP�� oS�� oT��  oU�� sV�� �ioW�� oX�� � ,o=�� �oY�� � , o=�� �� ,o=�� �*���(������� ����� ���� ��������� ��������0����� �� �;��%�L��(H�� sI�� sJ�� ���oL�� ����oM��  ���sN��   oO�� [oP�� oQ��  oR�� [oP�� oS�� oT��  oU�� sV�� �ioW�� oX�� � ,o=�� �oY�� � , o=�� �� ,o=�� �*��(������� ����� ���� ��������� ����0���� ��(Z�� ([�� r-�po$�� :���r=�po$�� :w��rO�po$�� :g��rk�po$�� :W��r��po$�� :G��r��po$�� :7��r��po$�� :'��r��po$�� :��r��po$�� :��r��po$�� :���r��po$�� :���r�po$�� :���r�po$�� :���r1�po$�� :���rE�po$�� ,* 8I���(\�� �(]��  �;��o^�� �ijYo_�� �io`�� &~��oa�� � ,o=�� � (��+:����rO�po$�� 9c��r!�p(D�� 9����(b��  �,��r_�p�rc�p�rg�p�rk�p�ro�p�rs�p�rw�p�r{�p�r��p� r��p�oc��   +'�  o5��   U��1 }��X�i2�{��r��po$�� :����rO�pod��  � Xoe��   r��pr��pof�� (�� r��p(2�� (b�� }��{��(g�� :'���~h�� (i�� r��prg�pr�pof�� r �pr�pof�� r�pr�pof�� r%�pr�pof�� r �pr$�pof�� r(�pr,�pof�� rj�pr0�pof�� r4�pr8�pof�� r<�pr@�pof�� rD�prH�pof�� rL�prP�pof�� (j�� (/�� oa�� rT�p{��of�� |��(k�� (/�� o0�� (1�� r~�pof�� �(/�� (l�� �_&�\r��po$�� ,7r��pr��pof�� (m�� &�1&r!�p(D�� - �(���r!�p(D�� - �(���&�&��X �i?����+Dr!�p(D�� ,�r!�p(��+�(���(���&�&��X�i2�*��A��������<���W�� ��������������P��������A�������� ��������A��������?��B�����Z��������?��E�����A������Z��8���������Z������Z��8���������A��0��� ��(��%{��X}�� ���j sn�� oo�� (\�� 2{�� (��+9����(p�� (/�� o0�� (q�� or�� (��(s�� (t�� }��(/�� {��o0�� (1�� ou��  (v�� r��p{��(�� o0��  sw��     �ioW��  ox��  oX�� �  , o=�� � r��p(2�� (y�� *(��*���������� ����0�)�� �� ����;�� sw�� �io`�� &oX�� � ,o=�� ��&��sw��  (/�� o0�� (q�� or��  (���ioW�� oX�� � ,o=�� ��&��sn�� (t�� }��(/�� {��o0�� (1�� ou��  (v�� r��p{��(�� o0��  sw��     �ioW��  ox��  oX�� �  , o=�� � r��p(2�� (y�� *���@����(� ������ �)4�Z���@�=}� ������7�R��Z����� ����0�R�����(R�� (v�� o0�� (/�� oa�� r��p{ ��of�� r��p{��r��p(z�� (/�� (l�� *��0������/�,��r��p�r��p�r��p�r��p�r�p�r�p�r�p�r(�p�r4�p� r@�p� rL�p� rX�p� rd�p� rp�p�r|�p�r��p�r��p�r��p�r��p�r��p�r��p�r��p�r��p�r��p�r��p�r��p�r �p�r�p�r$�p�r0�p�r<�p�rH�p� rT�p�!r`�p�"rl�p�#rx�p�$r��p�%r��p�&r��p�'r��p�(r��p�)r��p�*r��p�+r��p�,r��p�-r��p�.r��p� ( �� ~{�� r��po|�� rP�po}�� t,�� o~�� rH�po$�� :���� rR�po$�� :���� rb�po$�� :����(��rp�p(D�� ,*(��+,s(��rz�po$�� - {�� ���1U{��+/�o3�� o�� r!�p{��(���&��X�i2�r!�p{��( ��*��������9��0�z�����(#��  +^ � o"�� r��po$�� -6o"�� r��po$�� -$o"�� r��po$�� -o"�� r��po$�� , rp�p �&��X �i2�r��p**������Z�b�A��0������r��p ~{�� o|�� 9[��r �po}�� o�� r��p(D�� , r8�p�D��rB�po$�� , rB�p�+��r0�po$�� , rH�p���rT�po$�� , r^�p�����r8�po$�� ,%rr�po$�� , r|�p�����r��p�����r��po$�� , r��pݮ���r��po$�� , r��pݕ���r��po$�� , r��p�r��po$�� , r��p�ir��po$�� , r �p�Sr�po$�� , r(�p�=r<�po$�� , rz�p�'rJ�p� o�� �r��p� ,o=�� �*���A4���������P��h�� ���A��������j��|�� �������0�������rX�p r��p r��p s�� �,����� o��  ����(������rj�p��rj�p��Y���(.�� (�� r��p(2�� (i�� *0�0�����r�p r�p ~��� o��� r��po��� o~�� �&��*���� � ,�A��0������(/�� o0�� (�� (1�� *��0�)�����s��� o��� ~ ��o��� � ,o=�� �*�������� ����0�������(�� r��p(�� {��(��� -(��� o��� �&��(��� o��� (t��  (��� (��� �&��~��� r��po��� (�� r#�p(��  r/�p (2�� o��� o~�� *��������.�����C�S���0�j�����r3�p (��� o��� (t�� ~��� o��� , o��� ~��� o��� � , o=�� ��&��(�� r��p(�� (��� �&��*��(���%�<� �������0H�A����K�f�A��(��� *0�������%{M��X}M��{M��d<����{N��{�� �,�� r��p�(��� �(��� �(��� �(��� �(��� �(��� �(��� �|M��(k�� � r��p� (��� � r �p�(��� o��� *�0�������sW�� }N��}M��{�� �,�� r��p� (��� � (��� � (��� � (��� � (��� � (��� � (��� � |M��(k�� �  r��p�  (��� �  r �p� (��� o��� s���  ���o���  �X��s��� o��� o��� *��0������s��� rK �po��� r[ �po��� rm �po��� r} �po��� r� �po��� r� �po��� r� �po��� r� �po��� r� �po��� r� �po��� r� �po��� r !�po��� r;!�po��� rO!�po��� rq!�po��� r�!�po��� r�!�po��� r�!�po��� r�!�po��� r"�po��� r"�po��� r"�po��� r'"�po��� r;"�po��� rQ"�po��� ra"�po���  (#�� +U� o��� +&(��� o"�� o��� o��� o$�� ,o��� (��� -�����o=�� �X�i2��&��*����^3�������Hg�A��0�_�����(��� r"�ps��� r�"�po��� r�"�po��� r�"�pr�"�p(2�� o��� r#�po��� o��� r"�p(��� &('�� *�0�t�����(��� s���  ��o��� (��� r#�p(��� r)#�p  (v�� (l�� s��� rR$�po��� o��� - (��� &�&� (��� &�&��*����Y� c�p����f� p�p��z,{��, {��o=�� (��� *�0�����������s��� (��� s��� }��(��� {��o��� {��(��� o)�� {��r^$�p"���A ����s��� o��� {��(��� o��� {��(S��o��� {�� ��� ��s��� o��� {��r|$�po��� {�� j��js��� o��� {��o��� {��r�$�po��� {�� o��� {��o��� "���@"��PAs��� (��� (��� o���  ��� ���s��� (��� (��� {��o��� (��� (��� (��� r�$�p(��� (��� (��� (��� r�$�po��� (��� (��� (��� ���s��� (��� (��� *F� ��(/�� ���*(��� *���0 �������s���   ~��� ~��� ���(��� (��� d`(%��  -J +? (���  ZXs��� ���(��� (��� ���  {��o��� & X  2��& r�$�p o�� (�� rG%�p(��� & � � (&��&�* *�������1�g��&A���1��������Z(��� (��� s��(��� *�0�H�������(��� ����3rS%�p(D�� ,`}"��}#��}$��}%��}&��*{"��*{#��*{$��*{%��*{&��*0�Z�������{%��_,*{%��_,*{%��_,*{%�� ����_-* ����{%��3{#��,{#��o5�� ,**��0�X�������(0��,N{"��, {"��o5�� --{$��, {$��o5�� - o�� s��� *{$��s��� *o�� s��� **0�B�������{"��, {"��o5�� -r]%�p(�� {#��(��� *r]%�p{"��{#��(��� *�(0��-*,o5�� -*o��� {$��o��� o��� *:(��� o��� �*0�!�����(��� o��� 3o��� o��� 2**���0��� �� ~��� (8��  3 (8�� :����>����. � ��(��� + � ��(��� (��� (���  +~  (��� 32 (��� � ��  {:��~h��  {;�� {<��oF��+2 (��� � ��  {2�� {8�� {3�� {4��oF��X X ?z����~��� (��� ,(:��&�*��� ��������0���!��2  � ��(��� (��� Z�(��� (9�� |3' � ��(��� (��� (9�� , ����@����(���  +~  (��� 32 (��� � ��  {D��~h��  (M�� {G��oF��+2 (��� � ��  {=�� {A�� (L�� {@��oF��X X ?z���+(��� �(��� �*���+������0�T�������,:o5�� ,2(5��-+o��� �\o;�� 3 \o;�� . rq%�p(�� �(4��,(;��*(<��*0�H���"��,o5�� -*o;�� (��� A0Z1*~��� o;�� .*~��� o;�� .**0�8��#��,o5�� -~h�� *(��� �(>��-* � ��� ��(��� (6�� ����34(���  (7�� - � ��(��� (��� � �� � (��� �. ���. 8����{1��*(A��,voI��,ho-��,[o5�� ,Ro5�� ~��� o5�� Yo;�� .Xo5�� / oe�� �+~h�� �o�� (��� �*rw%�p�Y��(��� ~h�� *���T�&z�����0�2���$��,o5�� -*(��� �(>��-*(A�� -*oI��*^~/��- sC���/��~/��*sD��*z(��� ~h�� }0��{0��(=��*j(��� }0��{0��(=��*:(��� o��� &*v(��� {0��s*��o��� &*{0��*J(��� o��� t��*0�����%��,o5�� -*(��� (>��-*  +X(��� o��� t�� o0��,:o3��,1- +*o-��o5�� o-��o5�� /o.��,o.��, X (��� o��� 2�*:(��� o��� ***{>��_*6{F�� ���_*(��� *�0�3���&��~H��(��� , r�%�p���(��� o��� s�� �H��~H��*~I��*�I��*V(O��r�p~I��o� *0����'��(O��r�%�p~I��o� t��*~J��*VsU��(� t���J��*(� *����������������������lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.RuntimeResourceSet�����������PADPADP����#5�������������lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.RuntimeResourceSet���������hSystem.Drawing.Bitmap, System.Drawing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3aPADPAD}����oY� �������R��t�t�����w�i�n�8�-�s�p�i�n�n�e�r����� Hello! All your files have been encrypted... Your personal Id: $encryptedPassword Don't worry, you can return all your files! All your files, documents, photos, databases and other important files are encrypted by a strong encryption. Do not try restore files without our help, this is useless, and can destroy you data permanetly. However, the files can be recovered even after the removal of our program and even after reinstalling the operating system. Please You must follow these steps carefully to decrypt your files: Send $980 worth of bitcoin to wallet: bc1qzpa3j6qse5xfxft2xy7h2phq04wq9pk66lllz5 after payment,we will send you Decryptor software contact email: [email protected] ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������@��������������� ���QSystem.Drawing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a���System.Drawing.Bitmap���Data��� ������{.��GIF89a � ���� Fl������Dr����\��������Dv�El���T~����V|t��Nt������ Jt\�������Լ��l��4f����Rt���|��<n����Dr����$^|d�����$Z|Lz�,^|��Ą�����d�����|�����������l��,b�Rt���������<j������� Jl������|��4j�,^�Lv����T��T~���줾�t�����4b�4j����������\�����������������������������������������������������������������������������������������������������������������������������������������������������������!� NETSCAPE2.0���!����,���� � ��00�I��8�ͻ�`(�di�h��l�

Extracted

Path

C:\Program Files (x86)\README_6303749.txt

Ransom Note
Hello! All your files have been encrypted... Your personal Id: ylDiZOi3Ri9kNbtwD8BAKJ1lyK58AB7TzJ4NQtahn7+u+0W6l7vQ4XAk1gIzb1kwugyilQ21OxRHEc1p/yaiuM0qU2+ke00cncHIYcdIlgAuC+sF6DxSJnznbxFPFGa860xQYV+yNoW/ahEAQTjvZdGEBRiksS9x5j8TaNy09hS+qbvgM2ajcYAr4bZgfUAL6fo7Iq9tBxB/D6AVJ763ET1UmTT1ri/p9vrOAkjaskXJFPVVp7SdCXTM8jtwYKRSj+9do6Bkz+2JbQFDA7JlJ4kEBj66FEvJKbngKKJsOFYVY422dk5GWGEPMQgmA6mUyp2/x2DbBrpQg/3QZxxDIQ==&ZW4tVVNfNjMwMzc0OV9BZG1pbl84LzMvMjAyMyA2OjEzOjQ3IFBNX1dpbiAxMF9ibHBvX3Z6akN0VHI= Don't worry, you can return all your files! All your files, documents, photos, databases and other important files are encrypted by a strong encryption. Do not try restore files without our help, this is useless, and can destroy you data permanetly. However, the files can be recovered even after the removal of our program and even after reinstalling the operating system. Please You must follow these steps carefully to decrypt your files: Send $980 worth of bitcoin to wallet: bc1qzpa3j6qse5xfxft2xy7h2phq04wq9pk66lllz5 after payment,we will send you Decryptor software contact email: [email protected] ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������

Targets

    • Target

      8e65d1ce6e66ab7d6d173444b6a51f890bcd879ad93ecdc2b5d7be0560552d14.exe.exe

    • Size

      423KB

    • MD5

      1dfcaaf6f77e1a2dc1d4c36305885518

    • SHA1

      e0709a17751bed96486182224fa0f75c261744cd

    • SHA256

      8e65d1ce6e66ab7d6d173444b6a51f890bcd879ad93ecdc2b5d7be0560552d14

    • SHA512

      b88e6d43e4f4a00f8530f1ac368b85de56ecbafa3bf6166706f2d93615bd9ad8dbe5b88dbc9ceb0f8abfaeadeb5b2476da3c33b1d45507bac06e05885f52dbac

    • SSDEEP

      12288:/OwUtVJHYwNzp4FNesBhSw6cHmpme/T57XZtjNDd6S7sQo:mDLJHYwN14FNesrSw6cs17pv7s

    • AsyncRat

      AsyncRAT is designed to remotely monitor and control other computers written in C#.

    • StormKitty

      StormKitty is an open source info stealer written in C#.

    • StormKitty payload

    • Async RAT payload

    • Deletes shadow copies

      Ransomware often targets backup files to inhibit system recovery.

    • Modifies boot configuration data using bcdedit

    • Disables Task Manager via registry modification

    • .NET Reactor proctector

      Detects an executable protected by an unregistered version of Eziriz's .NET Reactor.

    • Executes dropped EXE

    • Reads user/profile data of web browsers

      Infostealers often target stored browser data, which can include saved credentials etc.

    • Adds Run key to start application

    • Drops desktop.ini file(s)

    • Looks up external IP address via web service

      Uses a legitimate IP lookup service to find the infected system's external IP.

    • Looks up geolocation information via web service

      Uses a legitimate geolocation service to find the infected system's geolocation info.

MITRE ATT&CK Enterprise v15

Tasks