General
-
Target
Precise+Bootstrapper.exe
-
Size
63KB
-
Sample
240727-b7pa5ssbpc
-
MD5
bc75267d1724e87a2dadd522f2c7aa59
-
SHA1
aa1f9078d6a4adc88adde9227bd0a96b87a9b138
-
SHA256
56d443b3ff8d1a3d19800b9735d5a274ce2fa42178cea9b491112a51178a10f7
-
SHA512
531bb6a561c384d53dfafa5fd73891d129abda6b0bff69db934be95682c1f23599d5b4e037fbf52a3ae471b2d108ca470cbf36b2a1fb3ce7ec970cae9bbc9557
-
SSDEEP
1536:ECiJFH6GEOcEQyr5+b38+Zoo+dh96CyNkjOjFnl4LL:ET6O7Qyr5+b38aAcoOjzsL
Score
10/10
Malware Config
Extracted
Family
xworm
C2
75.60.102.27:7000
Attributes
-
Install_directory
%AppData%
-
install_file
Fix.exe
Extracted
Path
C:\PetyaRansomware-CSharpEdition.exe
Ransom Note
MZ��������������������@��������������������������������������� ��� �!�L�!This program cannot be run in DOS mode.
$�������PE��L�\
o�����������"�
0������
���������� ��������@�� ������������������������������`��������������������������������S�������F����������������������
���������������������������������������������������� ������������� ��H�����������.text������� ��������������������� ��`.rsrc���F�������������������������@��@.reloc��
��������������������������@��B������������������������H�����8�����������Ȣ��p�������������������������������������������f1��Ў��ؼ�|���|f� ���f�"��������fHf���u�f�����������fPf1�RVWfPfS��fPfSQjj����|�B���f[fXsP0��X��f��f������s����_^ZfX�`��<�t���a��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������W���� !��
���� ���
����(���
��������������������������������U�
Targets
-
-
Target
Precise+Bootstrapper.exe
-
Size
63KB
-
MD5
bc75267d1724e87a2dadd522f2c7aa59
-
SHA1
aa1f9078d6a4adc88adde9227bd0a96b87a9b138
-
SHA256
56d443b3ff8d1a3d19800b9735d5a274ce2fa42178cea9b491112a51178a10f7
-
SHA512
531bb6a561c384d53dfafa5fd73891d129abda6b0bff69db934be95682c1f23599d5b4e037fbf52a3ae471b2d108ca470cbf36b2a1fb3ce7ec970cae9bbc9557
-
SSDEEP
1536:ECiJFH6GEOcEQyr5+b38+Zoo+dh96CyNkjOjFnl4LL:ET6O7Qyr5+b38aAcoOjzsL
Score10/10-
Detect Xworm Payload
-
Xworm
Xworm is a remote access trojan written in C#.
-
Command and Scripting Interpreter: PowerShell
Run Powershell to modify Windows Defender settings to add exclusions for file extensions, paths, and processes.
-
Checks computer location settings
Looks up country code configured in the registry, likely geofence.
-
Drops startup file
-
Executes dropped EXE
-
Adds Run key to start application
-
Writes to the Master Boot Record (MBR)
Bootkits write to the MBR to gain persistence at a level below the operating system.
-
MITRE ATT&CK Matrix ATT&CK v13
Execution
Command and Scripting Interpreter
1PowerShell
1Scheduled Task/Job
1Scheduled Task
1Persistence
Boot or Logon Autostart Execution
1Registry Run Keys / Startup Folder
1Pre-OS Boot
1Bootkit
1Scheduled Task/Job
1Scheduled Task
1