Overview

overview

10

Static

static

3

07b60dc343...18.exe

windows7-x64

10

07b60dc343...18.exe

windows10-2004-x64

10

$PLUGINSDI...em.dll

windows7-x64

3

$PLUGINSDI...em.dll

windows10-2004-x64

3

IP.dll

windows7-x64

1

IP.dll

windows10-2004-x64

3

Analysis

  • max time kernel
    139s
  • max time network
    128s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20240419-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20240419-enlocale:en-usos:windows10-2004-x64system
  • submitted
    29-04-2024 12:53

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    07b60dc343df2ab67d7a586d0a6a5be2_JaffaCakes118.exe

  • Size

    271KB

  • MD5

    07b60dc343df2ab67d7a586d0a6a5be2

  • SHA1

    cbf0ca5122b96ec8680c227b3b65ebb4a5a01c63

  • SHA256

    64e167683e619a5c5bb9e13852cd1908ddebc7505f4074f53327b48d14538f1f

  • SHA512

    65f28520985972538dea9d6536d64a7e49278f588ff1bc04a0dcacc2be532a291285735a8fdf4749ad16c9234a557cf91114088284b6cd2051e65be18915ed4e

  • SSDEEP

    6144:Kn/L+GOmoEQ7m/7QPaNCIWGdsJFccfBvWlMdrauk+EsaI+tckmat9c9CP:0zOmoYQPssccfD9Nk+RaIBat97P

Score
10/10
cerberdiscoveryransomwarespywarestealer

Malware Config

Extracted

Path

C:\Users\Admin\AppData\Roaming\README.hta

Ransom Note
<!DOCTYPE html><html lang="en"><head><meta charset="utf-8"><title>CERBER RANSOMWARE - Instructions</title><HTA:APPLICATION APPLICATIONNAME="Cerber Ransomware - Instructions"SCROLL="yes"SINGLEINSTANCE="yes"WINDOWSTATE="maximize"><style>a {color: #04a;text-decoration: none;}a:hover {text-decoration: underline;}body {background-color: #e7e7e7;color: #222;font-family: "Lucida Sans Unicode", "Lucida Grande", sans-serif;font-size: 13pt;line-height: 19pt;}body, h1 {margin: 0;padding: 0;}h1 {color: #555;font-size: 14pt;}hr {color: #bda;margin: 1.5%;}ol {padding-left: 2.5%;}ol li {padding-bottom: 13pt;}small {color: #555;font-size: 11pt;}ul {list-style-type: none;margin: 0;padding: 0;}.button {color: #04a;cursor: pointer;}.button:hover {text-decoration: underline;}.container {background-color: #fff;border: 2pt solid #c7c7c7;margin: 2.5%;min-width: 850px;padding: 2.5%;}.header {border-bottom: 2pt solid #c7c7c7;margin-bottom: 2.5%;padding-bottom: 2.5%;}.info {background-color: #efe;border: 2pt solid #bda;display: inline-block;padding: 1.5%;text-align: center;}.updating {color: red;display: none;}#change_language {float: right;}#change_language, #texts div {display: none;}</style></head><body><div class="container"><div class="header"><a href="#" id="change_language" onclick="return changeLanguage();" title="English">&#9745; English</a><h1>CERBER RANSOMWARE</h1><small id="title">Instructions</small></div><div id="languages"><p>&#9745; Select your language</p><ul><li><a href="#" title="English" onclick="return showBlock('en');">English</a></li><li><a href="#" title="Arabic" onclick="return showBlock('ar');">العربية</a></li><li><a href="#" title="Chinese" onclick="return showBlock('zh');">中文</a></li><li><a href="#" title="Dutch" onclick="return showBlock('nl');">Nederlands</a></li><li><a href="#" title="French" onclick="return showBlock('fr');">Français</a></li><li><a href="#" title="German" onclick="return showBlock('de');">Deutsch</a></li><li><a href="#" title="Italian" onclick="return showBlock('it');">Italiano</a></li><li><a href="#" title="Japanese" onclick="return showBlock('ja');">日本語</a></li><li><a href="#" title="Korean" onclick="return showBlock('ko');">한국어</a></li><li><a href="#" title="Polish" onclick="return showBlock('pl');">Polski</a></li><li><a href="#" title="Portuguese" onclick="return showBlock('pt');">Português</a></li><li><a href="#" title="Spanish" onclick="return showBlock('es');">Español</a></li><li><a href="#" title="Turkish" onclick="return showBlock('tr');">Türkçe</a></li></ul></div><div id="texts"><div id="en"><p>Can't you find the necessary files?<br>Is the content of your files not readable?</p><p>It is normal because the files' names and the data in your files have been encrypted by "Cerber Ransomware".</p><p>It means your files are NOT damaged! Your files are modified only. This modification is reversible.<br>From now it is not possible to use your files until they will be decrypted.</p><p>The only way to decrypt your files safely is to buy the special decryption software "Cerber Decryptor".</p><p>Any attempts to restore your files with the third-party software will be fatal for your files!</p><hr><p>You can proceed with purchasing of the decryption software at your personal page:</p><p><span class="info"><span class="updating">Please wait...</span><a class="url" href="http://lfdachijzuwx4bc4.gmnjz7.bid/D2E9-9DD6-8119-0088-5AA5" target="_blank">http://lfdachijzuwx4bc4.gmnjz7.bid/D2E9-9DD6-8119-0088-5AA5</a><hr><a href="http://lfdachijzuwx4bc4.tmfl6g.bid/D2E9-9DD6-8119-0088-5AA5" target="_blank">http://lfdachijzuwx4bc4.tmfl6g.bid/D2E9-9DD6-8119-0088-5AA5</a><hr><a href="http://lfdachijzuwx4bc4.oxmffh.bid/D2E9-9DD6-8119-0088-5AA5" target="_blank">http://lfdachijzuwx4bc4.oxmffh.bid/D2E9-9DD6-8119-0088-5AA5</a></span></p><p>If this page cannot be opened &nbsp;<span class="button" onclick="return updateUrl();">click here</span>&nbsp; to generate a new address to your personal page.</p><p>At this page you will receive the complete instructions how to buy the decryption software for restoring all your files.</p><p>Also at this page you will be able to restore any one file for free to be sure "Cerber Decryptor" will help you.</p><hr><p>If your personal page is not available for a long period there is another way to open your personal page - installation and use of Tor&nbsp;Browser:</p><ol><li>run your Internet browser (if you do not know what it is run the Internet Explorer);</li><li>enter or copy the address <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> into the address bar of your browser and press ENTER;</li><li>wait for the site loading;</li><li>on the site you will be offered to download Tor&nbsp;Browser; download and run it, follow the installation instructions, wait until the installation is completed;</li><li>run Tor&nbsp;Browser;</li><li>connect with the button "Connect" (if you use the English version);</li><li>a normal Internet browser window will be opened after the initialization;</li><li>type or copy the address <span class="info">http://lfdachijzuwx4bc4.onion/D2E9-9DD6-8119-0088-5AA5</span> in this browser address bar;</li><li>press ENTER;</li><li>the site should be loaded; if for some reason the site is not loading wait for a moment and try again.</li></ol><p>If you have any problems during installation or use of Tor&nbsp;Browser, please, visit <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> and type request in the search bar "Install Tor&nbsp;Browser Windows" and you will find a lot of training videos about Tor&nbsp;Browser installation and use.</p><hr><p><strong>Additional information:</strong></p><p>You will find the instructions ("*.hta") for restoring your files in any folder with your encrypted files.</p><p>The instructions ("*.hta") in the folders with your encrypted files are not viruses, the instructions ("*.hta") will help you to decrypt your files.</p><p>Remember the worst situation already happened and now the future of your files depends on your determination and speed of your actions.</p></div><div id="ar" style="direction: rtl;"><p>لا يمكنك العثور على الملفات الضرورية؟<br>هل محتوى الملفات غير قابل للقراءة؟</p><p>هذا أمر طبيعي لأن أسماء الملفات والبيانات في الملفات قد تم تشفيرها بواسطة "Cerber Ransomware".</p><p>وهذا يعني أن الملفات الخاصة بك ليست تالفة! فقد تم تعديل ملفاتك فقط. ويمكن التراجع عن هذا.<br>ومن الآن فإنه لا يكن استخدام الملفات الخاصة بك حتى يتم فك تشفيرها.</p><p>الطريقة الوحيدة لفك تشفير ملفاتك بأمان هو أن تشتري برنامج فك التشفير المتخصص "Cerber Decryptor".</p><p>إن أية محاولات لاستعادة الملفات الخاصة بك بواسطة برامج من طرف ثالث سوف تكون مدمرة لملفاتك!</p><hr><p>يمكنك الشروع في شراء برنامج فك التشفير من صفحتك الشخصية:</p><p><span class="info"><span class="updating">أرجو الإنتظار...</span><a class="url" href="http://lfdachijzuwx4bc4.gmnjz7.bid/D2E9-9DD6-8119-0088-5AA5" target="_blank">http://lfdachijzuwx4bc4.gmnjz7.bid/D2E9-9DD6-8119-0088-5AA5</a><hr><a href="http://lfdachijzuwx4bc4.tmfl6g.bid/D2E9-9DD6-8119-0088-5AA5" target="_blank">http://lfdachijzuwx4bc4.tmfl6g.bid/D2E9-9DD6-8119-0088-5AA5</a><hr><a href="http://lfdachijzuwx4bc4.oxmffh.bid/D2E9-9DD6-8119-0088-5AA5" target="_blank">http://lfdachijzuwx4bc4.oxmffh.bid/D2E9-9DD6-8119-0088-5AA5</a></span></p><p>في حالة تعذر فتح هذه الصفحة &nbsp;<span class="button" onclick="return updateUrl();">انقر هنا</span>&nbsp; لإنشاء عنوان جديد لصفحتك الشخصية.</p><p>في هذه الصفحة سوف تتلقى تعليمات كاملة حول كيفية شراء برنامج فك التشفير لاستعادة جميع الملفات الخاصة بك.</p><p>في هذه الصفحة أيضًا سوف تتمكن من استعادة ملف واحد بشكل مجاني للتأكد من أن "Cerber Decryptor" سوف يساعدك.</p><hr><p>إذا كانت صفحتك الشخصية غير متاحة لفترة طويلة فإن ثمّة طريقة أخرى لفتح صفحتك الشخصية - تحميل واستخدام متصفح Tor:</p><ol><li>قم بتشغيل متصفح الإنترنت الخاص بك (إذا كنت لا تعرف ما هو قم بتشغيل إنترنت إكسبلورر);</li><li>قم بكتابة أو نسخ العنوان <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> إلى شريط العنوان في المستعرض الخاص بك ثم اضغط ENTER;</li><li>انتظر لتحميل الموقع;</li><li>سوف يعرض عليك الموقع تحميل متصفح Tor. قم بتحميله وتشغيله، واتبع تعليمات التثبيت، وانتظر حتى اكتمال التثبيت;</li><li>قم بتشغيل متصفح Tor;</li><li>اضغط على الزر "Connect" (إذا كنت تستخدم النسخة الإنجليزية);</li><li>سوف تُفتح نافذة متصفح الإنترنت العادي بعد البدء;</li><li>قم بكتابة أو نسخ العنوان <span class="info">http://lfdachijzuwx4bc4.onion/D2E9-9DD6-8119-0088-5AA5</span> في شريط العنوان في المتصفح;</li><li>اضغط ENTER;</li><li>يجب أن يتم تحميل الموقع؛ إذا لم يتم تحميل الموقع لأي سبب، انتظر للحظة وحاول مرة أخرى.</li></ol><p>إذا كان لديك أية مشكلات أثناء عملية التثبيت أو استخدام متصفح Tor، يُرجى زيارة <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> واكتب الطلب "install tor browser windows" أو "تثبيت نوافذ متصفح Tor" في شريط البحث، وسوف تجد الكثير من أشرطة الفيديو للتدريب حول تثبيت متصفح Tor واستخدامه.</p><hr><p><strong>معلومات إضافية:</strong></p><p>سوف تجد إرشادات استعادة الملفات الخاصة بك ("*.hta") في أي مجلد مع ملفاتك المشفرة.</p><p>الإرشادات ("*.hta") الموجودة في المجلدات مع ملفاتك المشفرة ليست فيروسات والإرشادات ("*.hta") سوف تساعدك على فك تشفير الملفات الخاصة بك.</p><p>تذكر أن أسوأ موقف قد حدث بالفعل، والآن مستقبل ملفاتك يعتمد على عزيمتك وسرعة الإجراءات الخاصة بك.</p></div><div id="zh"><p>您找不到所需的文件?<br>您文件的内容无法阅读?</p><p>这是正常的,因为您文件的文件名和数据已经被“Cerber Ransomware”加密了。</p><p>这意味着您的文件并没有损坏!您的文件只是被修改了,这个修改是可逆的,解密之前您无法使用您的文件。</p><p>安全解密您文件的唯一方式是购买特别的解密软件“Cerber Decryptor”。</p><p>任何使用第三方软件恢复您文件的方式对您的文件来说都将是致命的!</p><hr><p>您可以在您的个人页面上购买解密软件:</p><p><span class="info"><span class="updating">请稍候...</span><a class="url" href="http://lfdachijzuwx4bc4.gmnjz7.bid/D2E9-9DD6-8119-0088-5AA5" target="_blank">http://lfdachijzuwx4bc4.gmnjz7.bid/D2E9-9DD6-8119-0088-5AA5</a><hr><a href="http://lfdachijzuwx4bc4.tmfl6g.bid/D2E9-9DD6-8119-0088-5AA5" target="_blank">http://lfdachijzuwx4bc4.tmfl6g.bid/D2E9-9DD6-8119-0088-5AA5</a><hr><a href="http://lfdachijzuwx4bc4.oxmffh.bid/D2E9-9DD6-8119-0088-5AA5" target="_blank">http://lfdachijzuwx4bc4.oxmffh.bid/D2E9-9DD6-8119-0088-5AA5</a></span></p><p>如果这个页面无法打开,请 <span class="button" onclick="return updateUrl();">点击这里</span> 生成您个人页面的新地址。</p><p>您将在这个页面上看到如何购买解密软件以恢复您的文件。</p><p>您可以在这个页面使用“Cerber Decryptor”免费恢复任何文件。</p><hr><p>如果您的个人页面长期不可用,有其他方法可以打开您的个人页面 - 安装并使用 Tor 浏览器:</p><ol><li>使用您的上网浏览器(如果您不知道使用 Internet Explorer 的话);</li><li>在浏览器的地址栏输入或复制地址 <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> 并按 ENTER 键;</li><li>等待站点加载;</li><li>您将在站点上下载 Tor 浏览器;下载并运行它,按照安装指南进行操作,等待直至安装完成;</li><li>运行 Tor 浏览器;</li><li>使用“Connect”按钮进行连接(如果您使用英文版);</li><li>初始化之后将打开正常的上网浏览器窗口;</li><li>在浏览器地址栏中输入或复制地址 <span class="info">http://lfdachijzuwx4bc4.onion/D2E9-9DD6-8119-0088-5AA5</span></li><li>按 ENTER 键;</li><li>该站点将加载;如果由于某些原因等待一会儿后没有加载,请重试。</li></ol><p>如果在安装期间或使用 Tor 浏览器期间有任何问题,请访问 <a href="https://www.baidu.com/s?wd=%E6%80%8E%E4%B9%88%E5%AE%89%E8%A3%85%20tor%20%E6%B5%8F%E8%A7%88%E5%99%A8" target="_blank">https://www.baidu.com</a> 并在搜索栏中输入“怎么安装 Tor 浏览器”,您将找到有关如何安装洋葱 Tor 浏览器的说明和教程。</p><hr><p><strong>附加信息:</strong></p><p>您将在任何带有加密文件的文件夹中找到恢复您文件(“*.hta”)的说明。</p><p>带有加密文件的文件夹中的(“*.hta”)说明不是病毒,(“*.hta”)说明将帮助您解密您的文件。</p><p>请记住,最坏的情况都发生过了,您的文件还能不能用取决于您的决定和反应速度。</p></div><div id="nl"><p>Kunt u de nodige files niet vinden?<br>Is de inhoud van uw bestanden niet leesbaar?</p><p>Het is gewoonlijk omdat de bestandsnamen en de gegevens in uw bestanden zijn versleuteld door “Cerber Ransomware”.</p><p>Het betekent dat uw bestanden NIET beschadigd zijn! Uw bestanden zijn alleen gewijzigd. Deze wijziging is omkeerbaar. Vanaf nu is het niet mogelijk uw bestanden te gebruiken totdat ze ontsleuteld zijn.</p><p>De enige manier om uw bestanden veilig te ontsleutelen is door de speciale ontsleutel-software “Cerber Decryptor” te kopen.</p><p>Elke poging om uw bestanden te herstellen met software van een derde partij zal fataal zijn voor uw bestanden!</p><hr><p>U kunt op uw persoonlijke pagina de ontsleutel-software kopen:</p><p><span class="info"><span class="updating">Even geduld aub...</span><a class="url" href="http://lfdachijzuwx4bc4.gmnjz7.bid/D2E9-9DD6-8119-0088-5AA5" target="_blank">http://lfdachijzuwx4bc4.gmnjz7.bid/D2E9-9DD6-8119-0088-5AA5</a><hr><a href="http://lfdachijzuwx4bc4.tmfl6g.bid/D2E9-9DD6-8119-0088-5AA5" target="_blank">http://lfdachijzuwx4bc4.tmfl6g.bid/D2E9-9DD6-8119-0088-5AA5</a><hr><a href="http://lfdachijzuwx4bc4.oxmffh.bid/D2E9-9DD6-8119-0088-5AA5" target="_blank">http://lfdachijzuwx4bc4.oxmffh.bid/D2E9-9DD6-8119-0088-5AA5</a></span></p><p>Als deze pagina niet geopend kan worden &nbsp;<span class="button" onclick="return updateUrl();">klik dan hier</span>&nbsp; om een nieuw adres aan uw persoonlijke pagina toe te voegen.</p><p>Op deze pagina zult u de complete instructies ontvangen hoe u de ontsleutel-software kunt kopen om al uw bestanden te herstellen.</p><p>Op deze pagina kunt u ook één file gratis herstellen om u ervan te verzekeren dat “Cerber Decryptor” u zal helpen.</p><hr><p>Als uw persoonlijke pagina langere tijd niet beschikbaar is, is er een andere manier om uw persoonlijke pagina te openen – het installeren en gebruiken van Tor Browser:</p>

Signatures

  • Cerber

    Cerber is a widely used ransomware-as-a-service (RaaS), first seen in 2017.

    ransomwarecerber
  • Deletes shadow copies 2 TTPs

    Ransomware often targets backup files to inhibit system recovery.

    ransomware
  • Contacts a large (529) amount of remote hosts 1 TTPs

    This may indicate a network scan to discover remotely running services.

    discovery
  • Checks computer location settings 2 TTPs 1 IoCs

    Looks up country code configured in the registry, likely geofence.

  • Loads dropped DLL 3 IoCs
  • Reads user/profile data of web browsers 2 TTPs

    Infostealers often target stored browser data, which can include saved credentials etc.

    spywarestealer
  • Sets desktop wallpaper using registry 2 TTPs 1 IoCs
    ransomware
  • Suspicious use of SetThreadContext 1 IoCs
  • Drops file in Program Files directory 6 IoCs
  • Drops file in Windows directory 2 IoCs
  • Enumerates physical storage devices 1 TTPs

    Attempts to interact with connected storage/optical drive(s).

  • Kills process with taskkill 1 IoCs
    evasion
  • Modifies registry class 1 IoCs
  • Runs ping.exe 1 TTPs 1 IoCs
  • Suspicious behavior: EnumeratesProcesses 64 IoCs
  • Suspicious use of AdjustPrivilegeToken 49 IoCs
  • Suspicious use of WriteProcessMemory 23 IoCs
  • Uses Volume Shadow Copy service COM API

    The Volume Shadow Copy service is used to manage backups/snapshots.

    ransomware

Processes

  • C:\Users\Admin\AppData\Local\Temp\07b60dc343df2ab67d7a586d0a6a5be2_JaffaCakes118.exe
    "C:\Users\Admin\AppData\Local\Temp\07b60dc343df2ab67d7a586d0a6a5be2_JaffaCakes118.exe"
    1⤵
    • Loads dropped DLL
    • Suspicious use of SetThreadContext
    • Drops file in Windows directory
    • Suspicious use of WriteProcessMemory
    PID:1396
    • C:\Users\Admin\AppData\Local\Temp\07b60dc343df2ab67d7a586d0a6a5be2_JaffaCakes118.exe
      "C:\Users\Admin\AppData\Local\Temp\07b60dc343df2ab67d7a586d0a6a5be2_JaffaCakes118.exe"
      2⤵
      • Checks computer location settings
      • Sets desktop wallpaper using registry
      • Drops file in Program Files directory
      • Modifies registry class
      • Suspicious behavior: EnumeratesProcesses
      • Suspicious use of AdjustPrivilegeToken
      • Suspicious use of WriteProcessMemory
      PID:1176
      • C:\Windows\system32\cmd.exe
        "C:\Windows\system32\cmd.exe"
        3⤵
        • Suspicious use of WriteProcessMemory
        PID:3052
        • C:\Windows\system32\wbem\WMIC.exe
          C:\Windows\system32\wbem\wmic.exe shadowcopy delete
          4⤵
          • Suspicious use of AdjustPrivilegeToken
          PID:4532
      • C:\Windows\SysWOW64\mshta.exe
        "C:\Windows\SysWOW64\mshta.exe" "C:\Users\Admin\AppData\Local\Temp\README.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}
        3⤵
          PID:1044
        • C:\Windows\system32\cmd.exe
          "C:\Windows\system32\cmd.exe"
          3⤵
          • Suspicious use of WriteProcessMemory
          PID:288
          • C:\Windows\system32\taskkill.exe
            taskkill /f /im "07b60dc343df2ab67d7a586d0a6a5be2_JaffaCakes118.exe"
            4⤵
            • Kills process with taskkill
            • Suspicious use of AdjustPrivilegeToken
            PID:4636
          • C:\Windows\system32\PING.EXE
            ping -n 1 127.0.0.1
            4⤵
            • Runs ping.exe
            PID:4696
    • C:\Windows\system32\vssvc.exe
      C:\Windows\system32\vssvc.exe
      1⤵
      • Suspicious use of AdjustPrivilegeToken
      PID:4184
    • C:\Windows\system32\AUDIODG.EXE
      C:\Windows\system32\AUDIODG.EXE 0x4f0 0x4e8
      1⤵
      • Suspicious use of AdjustPrivilegeToken
      PID:4868

    Network

    MITRE ATT&CK Matrix ATT&CK v13

    Initial Access

    Execution

    Persistence

    Privilege Escalation

    Defense Evasion

    Indicator Removal

    1
    T1070

    File Deletion

    1
    T1070.004

    Modify Registry

    1
    T1112

    Credential Access

    Unsecured Credentials

    1
    T1552

    Credentials In Files

    1
    T1552.001

    Discovery

    Network Service Discovery

    1
    T1046

    Query Registry

    1
    T1012

    System Information Discovery

    2
    T1082

    Remote System Discovery

    1
    T1018

    Lateral Movement

    Collection

    Data from Local System

    1
    T1005

    Exfiltration

    Command and Control

    Impact

    Inhibit System Recovery

    1
    T1490

    Defacement

    1
    T1491

    Resource Development

    Reconnaissance

    Replay Monitor

    Loading Replay Monitor...

    Downloads

    • C:\Users\Admin\AppData\Local\Temp\nsn4DF2.tmp\System.dll
      Filesize

      11KB

      MD5

      a436db0c473a087eb61ff5c53c34ba27

      SHA1

      65ea67e424e75f5065132b539c8b2eda88aa0506

      SHA256

      75ed40311875312617d6711baed0be29fcaee71031ca27a8d308a72b15a51e49

      SHA512

      908f46a855480af6eacb2fb64de0e60b1e04bbb10b23992e2cf38a4cbebdcd7d3928c4c022d7ad9f7479265a8f426b93eef580afec95570e654c360d62f5e08d

      Download Submit
    • C:\Users\Admin\AppData\Roaming\IP.dll
      Filesize

      89KB

      MD5

      38ed71d99dd2bb013c4bc8e065d87e3e

      SHA1

      e11be1e6647911705a90ec0f55787d2dba3e6ca0

      SHA256

      286069d12c8f12a00aef558d02426dfdbe3a6337b05dea53b70a3d3cfcf49ff9

      SHA512

      0480789002f9dd3bc52e49eb534471ab1db81be9fd94522373d14a81735aea7e20a995748edc131b0ec6ba49b420c56a030e955cffdb45ba410392dc7a8c0983

      Download Submit
    • C:\Users\Admin\AppData\Roaming\LollCassock.c
      Filesize

      188KB

      MD5

      a9c5f3348c26939be8b23337f3357ac3

      SHA1

      c5eaa8166a14136e4d333abdaa14000cb6c9b60b

      SHA256

      95b54421371472d603e61dab5c4eac114fec812711f6fe060c46fa941d44b458

      SHA512

      6541478f195b263044deee5c2b7f5dcbc1435f878eff086aecd4de56733aa96eb9a9355e083705cb73900923a916bcaecd8c1f7b57998e05689a5894ae07d54b

      Download Submit
    • C:\Users\Admin\AppData\Roaming\README.hta
      Filesize

      60KB

      MD5

      2a5347c470a81ef563696966019aae5e

      SHA1

      d9c6d1abb99b0302194e058857f46a3073c6bd57

      SHA256

      1b78e5ee03378fdccee74f554245c51ba8f7d9e21319573c0983b3457f3e5c44

      SHA512

      e2c4b84649b3938a9218fbef41e4c093d1d5a11a2b144d123ef53af59a0a033b780facc61294e14a4be3917b52ec7be83f64f8dce1eeb8bd39ad23196080b38e

      Download Submit
    • C:\Users\Admin\AppData\Roaming\error_1.png
      Filesize

      3KB

      MD5

      6f42ca6b4105204fcd946cc2ae17d9a1

      SHA1

      7d4a234e40ef4564943ece66d46d9e1417586887

      SHA256

      7d4b3a73836005095e230d6d34297baa68f816b71cc6b78ced7a6f60b46c829c

      SHA512

      724726aa1b898646522140872210fb4766d5c9998eed3192f112313081377e68077536f6589d98f3300909592584bf3b65820da253feea8eeb558153900cf97a

      Download Submit
    • C:\Users\Admin\AppData\Roaming\error_x.png
      Filesize

      3KB

      MD5

      801073269f05274bfb3c0afc03fa26af

      SHA1

      637010c6c1e8d0d55d5e26ad706d165d30755a54

      SHA256

      ee3ba98ba29d14aa9732353124bf3a9c2e6f287b85e89bc160b4e39a1e170068

      SHA512

      5a28ac49338391ec5e2b241fb4ad33d6f3d947c357c2d9a693e6aabee6e2f9c52a2b85f2e82eed6782a2d9ec586a4baea817ee852f761ba8167202538d41c222

      Download Submit
    • memory/1176-33-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-741-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-26-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-34-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-40-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-39-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-27-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-138-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-25-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-786-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-21-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-729-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-732-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-735-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-738-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-32-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-744-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-747-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-750-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-753-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-756-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-759-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-762-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-765-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-768-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-771-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-774-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1176-780-0x0000000000400000-0x0000000000431000-memory.dmp
      Filesize

      196KB

      Download
    • memory/1396-22-0x0000000065100000-0x000000006511B000-memory.dmp
      Filesize

      108KB

      Download