Overview

overview

10

Static

static

10

2024-09-10...ry.exe

windows7-x64

10

2024-09-10...ry.exe

windows10-2004-x64

10

Sharing

Copy URL
Twitter E-mail

General

  • Target

    2024-09-10_f4546cd292db332bd3450843677a210a_chaos_destroyer_wannacry

  • Size

    32KB

  • Sample

    240910-prvpwawckh

  • MD5

    f4546cd292db332bd3450843677a210a

  • SHA1

    e933a17670e7ccf12bd74940f1b28e484be890a3

  • SHA256

    a34420684f2cac84d72ed9ce886e22327e8d316cb13b177076b6eac639149499

  • SHA512

    217703a0b55c7e2923bb5b659c489141ec8d96ae97eaa423d9881eb4fdbd31b5913c5ee3813e513f60ec0da37c826295517acca293edab153cff11df47a2c604

  • SSDEEP

    384:sYenjLLA+rjoA71WcA0OZz89Zdi+tYSx4EOVp91iNgoF2lfpV1FxDGp:rwcAZmo9Ztc9wSoF2dxDW

Score
10/10
chaosdefense_evasionevasionexecutionimpactransomwarespywarestealer

Malware Config

Extracted

Path

C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Crashpad\read.txt

Ransom Note
Все ваши файлы зашифрованы. На ваш компьютер попал вирус шифровальщик, и зашифровал все важные файлы. Ваши файлы зашифрованы, и вы не сможете их расшифровать без нашей помощи, так как только у нас есть дешифратор и специальный ключ расшифровки Но не стоит отчаиваться, у нас есть специальный расшифровщиик файлов, и мы готовы вам его предоставить за небольшую сумму, 30 000 российских рублей Наш дешифратор позволит вам восстановить все ваши данные на вашем компьютере. Согласитесь что лучше оплатить наши услуги по расшифровки, чем потерять свои документы, и нести убытки от простоя компьютера. Нам нет смысла вас обманывать, вы нам оплачиваете, а мы высылаем вам программу для расшифровки ваших файлов и инструкцию к ней. До оплаты что бы убедится что мы можем расшифровать все ваши файлы, для теста можете прислать любой небольшой зашифрованный файл,например, картинки (jpg, png,pdf, gif) или word (doc, docx) в ответ в качестве доказательства вам мы вышлем расшифрованный файл. Если вас интересует восстановление всех ваших файлов напишите для получения инструкций, узнать как оплатить,и по другим вопросам на почту [email protected] в теме письма укажите текст id4783630353418 All your files are encrypted. A ransomware virus got onto your computer and encrypted all your important files. Your files are encrypted and you will not be able to decrypt them without our help, since only we have a decryptor and a special decryption key But don’t despair, we have a special file decryptor, and we are ready to provide it to you for a small amount, 30 000 russian rubles Our decryptor will allow you to recover all your data on your computer. Agree that it is better to pay for our decryption services than to lose your documents, and incur losses from computer downtime. There is no point in us deceiving you, you pay us, and we send you the program for decryption of your files and instructions for it. Before payment, to make sure that we can decrypt all your files, you can test send any small encrypted file, for example, pictures (jpg, png, pdf, gif) or word (doc, docx) In response, we will send you the decrypted file as proof. If you are interested in recovering all your files, write to receive instructions, find out how to pay, and for other questions, email [email protected] in the subject of the letter indicate the text id4783630353418

Targets

    • Target

      2024-09-10_f4546cd292db332bd3450843677a210a_chaos_destroyer_wannacry

    • Size

      32KB

    • MD5

      f4546cd292db332bd3450843677a210a

    • SHA1

      e933a17670e7ccf12bd74940f1b28e484be890a3

    • SHA256

      a34420684f2cac84d72ed9ce886e22327e8d316cb13b177076b6eac639149499

    • SHA512

      217703a0b55c7e2923bb5b659c489141ec8d96ae97eaa423d9881eb4fdbd31b5913c5ee3813e513f60ec0da37c826295517acca293edab153cff11df47a2c604

    • SSDEEP

      384:sYenjLLA+rjoA71WcA0OZz89Zdi+tYSx4EOVp91iNgoF2lfpV1FxDGp:rwcAZmo9Ztc9wSoF2dxDW

    Score
    10/10
    chaosdefense_evasionevasionexecutionimpactransomwarespywarestealer

    • Chaos

      Ransomware family first seen in June 2021.

      ransomwarechaos

    • Chaos Ransomware

    • Deletes shadow copies

      Ransomware often targets backup files to inhibit system recovery.

      ransomwaredefense_evasionimpactexecution

    • Modifies boot configuration data using bcdedit

      ransomwareevasion

    • Renames multiple (179) files with added filename extension

      This suggests ransomware activity of encrypting all the files on the system.

      ransomware

    • Deletes backup catalog

      Uses wbadmin.exe to inhibit system recovery.

      ransomware

    • Checks computer location settings

      Looks up country code configured in the registry, likely geofence.

    • Drops startup file

    • Executes dropped EXE

    • Reads user/profile data of web browsers

      Infostealers often target stored browser data, which can include saved credentials etc.

      spywarestealer

    • Drops desktop.ini file(s)

    behavioral1behavioral2

MITRE ATT&CK Enterprise v15

Tasks