Resubmissions
04-05-2024 21:51
240504-1qqv3scc8z 1004-05-2024 21:49
240504-1pnpbsfd78 1004-05-2024 20:06
240504-yvtfnahf9x 10Analysis
-
max time kernel
78s -
max time network
77s -
platform
windows10-2004_x64 -
resource
win10v2004-20240426-en -
resource tags
arch:x64arch:x86image:win10v2004-20240426-enlocale:en-usos:windows10-2004-x64system -
submitted
04-05-2024 21:51
Behavioral task
behavioral1
Sample
14482d720ca414b66340964da9d65036_JaffaCakes118.exe
Resource
win10v2004-20240426-en
General
-
Target
14482d720ca414b66340964da9d65036_JaffaCakes118.exe
-
Size
69KB
-
MD5
14482d720ca414b66340964da9d65036
-
SHA1
6e37ac5c955f17bf5eab8c150179d4a9d41f6045
-
SHA256
b323df0d03003d63a31e6b6c629f261e70806df26772548346a98e74dff7795d
-
SHA512
4a0c7fbd958bf766f2e84e95a82c6604b8b4e46ade9880c6cf9395a80c35a355efa1679dc1fdcd86c277c5ed4d5c03e5e5f5b9c091dfd75fc0bab93974b8ac70
-
SSDEEP
1536:rZZZZZZZZZZZZpXzzzzzzzzzzzzV9rXounV98hbHnAmMqqU+2bbbAV2/S2Lccu:rBounVyFHjMqqDL2/Lcc
Malware Config
Signatures
-
GandCrab payload 1 IoCs
resource yara_rule behavioral1/memory/3016-0-0x000000000F080000-0x000000000F096000-memory.dmp family_gandcrab -
Gandcrab
Gandcrab is a Trojan horse that encrypts files on a computer.
-
Program crash 1 IoCs
pid pid_target Process procid_target 3644 3016 WerFault.exe 81 -
Checks SCSI registry key(s) 3 TTPs 3 IoCs
SCSI information is often read in order to detect sandboxing environments.
description ioc Process Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000 taskmgr.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\Properties\{b725f130-47ef-101a-a5f1-02608c9eebac}\000A taskmgr.exe Key value queried \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\FriendlyName taskmgr.exe -
Checks processor information in registry 2 TTPs 2 IoCs
Processor information is often read in order to detect sandboxing environments.
description ioc Process Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 taskmgr.exe Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString taskmgr.exe -
Modifies registry class 1 IoCs
description ioc Process Key created \REGISTRY\USER\S-1-5-21-1162180587-977231257-2194346871-1000_Classes\Local Settings taskmgr.exe -
Suspicious behavior: EnumeratesProcesses 64 IoCs
pid Process 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe -
Suspicious behavior: GetForegroundWindowSpam 1 IoCs
pid Process 3796 taskmgr.exe -
Suspicious use of AdjustPrivilegeToken 3 IoCs
description pid Process Token: SeDebugPrivilege 3796 taskmgr.exe Token: SeSystemProfilePrivilege 3796 taskmgr.exe Token: SeCreateGlobalPrivilege 3796 taskmgr.exe -
Suspicious use of FindShellTrayWindow 64 IoCs
pid Process 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe -
Suspicious use of SendNotifyMessage 64 IoCs
pid Process 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe 3796 taskmgr.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\14482d720ca414b66340964da9d65036_JaffaCakes118.exe"C:\Users\Admin\AppData\Local\Temp\14482d720ca414b66340964da9d65036_JaffaCakes118.exe"1⤵PID:3016
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3016 -s 3442⤵
- Program crash
PID:3644
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 3016 -ip 30161⤵PID:736
-
C:\Windows\system32\taskmgr.exe"C:\Windows\system32\taskmgr.exe" /41⤵
- Checks SCSI registry key(s)
- Checks processor information in registry
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
PID:3796
-
C:\Windows\System32\rundll32.exeC:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,SHCreateLocalServerRunDll {9aa46009-3ce0-458a-a354-715610a075e6} -Embedding1⤵PID:5096
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1324
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1432
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:456
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3208
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3492
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:676
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3788
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:2544
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3396
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:2480
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4200
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3356
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:5032
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3468
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:5092
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:5096
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1780
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:2948
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:2528
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4416
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4140
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:592
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4576
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:5020
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:456
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1456
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3016
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4452
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3644
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1468
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3220
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1008
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3532
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1564
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4496
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3676
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1228
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3184
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:2480
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3888
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3216
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3236
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3524
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3128
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4252
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3708
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4944
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1104
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1448
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4716
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1280
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:2168
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1772
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4016
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3016
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1960
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4152
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3160
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1616
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3532
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:844
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1404
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:5024
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4768
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3356
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3976
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4144
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:2328
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3128
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:2720
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1336
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4952
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4140
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4976
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:4444
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:1280
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:944
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:2732
-
C:\Windows\System32\t4pfwd.exe"C:\Windows\System32\t4pfwd.exe"1⤵PID:3060