Overview

overview

10

Static

static

1

RNSM00421.7z

windows10-2004-x64

10

Sharing

Copy URL
Twitter E-mail

General

  • Target

    RNSM00421.7z

  • Size

    35.5MB

  • Sample

    241027-ts9yeaxlcx

  • MD5

    3c6abe1464fd267a85e8ccbcc66eeb76

  • SHA1

    2406fd40ed8faf9b2baf746b3b0782d6307447d0

  • SHA256

    f85a2bf5e2f264cca9ae7550fe523a291661f675dec92ffad4bcd215464a4bf2

  • SHA512

    ed71f9b69245833bdbe4c072a0ae402f1721d33a30d92f129c67d089f70a97f1ac012b6fdfb4bba1dff3764d1cb2012a9f66338326a3e568743b3c5989d664ec

  • SSDEEP

    786432:1V/13fdiK7G5z6iIJnz4qXUoPayG8Gk+OWiN71U6n:1dVJKEiIJUqXUOlFpN71UM

Score
10/10
agentteslabitratcontigluptebamodiloadersodinokibi$2a$10$l5pxoxmpqpbnzwibmn2zhoe/po6pinqeq2qiy7ml5ccjz9wddxojo6475discoverydropperexecutionkeyloggerloaderransomwarespywarestealertrojanupx

Malware Config

Extracted

Family

sodinokibi

Botnet

$2a$10$l5pXoxmPqPBnzWIBMn2zhOe/Po6PiNqEQ2qIy7ml5ccjZ9wdDXoJO

Campaign

6475

Decoy

tigsltd.com

gopackapp.com

qualitaetstag.de

pferdebiester.de

nicoleaeschbachorg.wordpress.com

qlog.de

naswrrg.org

summitmarketingstrategies.com

mrsplans.net

meusharklinithome.wordpress.com

thedad.com

truenyc.co

sagadc.com

yamalevents.com

cuspdental.com

glennroberts.co.nz

outcomeisincome.com

greenpark.ch

resortmtn.com

eaglemeetstiger.de
Attributes
  • net

    false

  • pid

    $2a$10$l5pXoxmPqPBnzWIBMn2zhOe/Po6PiNqEQ2qIy7ml5ccjZ9wdDXoJO

  • prc

    dbsnmp

    powerpnt

    ocautoupds

    wordpad

    isqlplussvc

    firefox

    sql

    outlook

    excel

    ocomm

    oracle

    agntsvc

    sqbcoreservice

    encsvc

    onenote

    thunderbird

    visio

    tbirdconfig

    mspub

    synctime

    mydesktopservice

    ocssd

    xfssvccon

    dbeng50

    thebat

    winword

    msaccess

    mydesktopqos

    infopath

    steam

  • ransom_oneliner

    All of your files are encrypted! Find {EXT}-readme.txt and follow instuctions

  • ransom_template

    ---=== Welcome. Again. ===--- [+] Whats Happen? [+] Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension {EXT}. By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER). [+] What guarantees? [+] Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests. To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee. If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money. [+] How to get access on website? [+] You have two ways: 1) [Recommended] Using a TOR browser! a) Download and install TOR browser from this site: https://torproject.org/ b) Open our website: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/{UID} 2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this: a) Open your any browser (Chrome, Firefox, Opera, IE, Edge) b) Open our secondary website: http://decryptor.cc/{UID} Warning: secondary website can be blocked, thats why first variant much better and more available. When you open our website, put the following data in the input form: Key: {KEY} ----------------------------------------------------------------------------------------- !!! DANGER !!! DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data. !!! !!! !!! ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere. !!! !!! !!!

  • sub

    6475

  • svc

    vss

    backup

    sql

    sophos

    mepocs

    memtas

    svc$

    veeam

Extracted

Path

C:\ProgramData\readme.txt

Family

conti

Ransom Note
All of your files are currently encrypted by CONTI strain. As you know (if you don't - just "google it"), all of the data that has been encrypted by our software cannot be recovered by any means without contacting our team directly. If you try to use any additional recovery software - the files might be damaged, so if you are willing to try - try it on the data of the lowest value. To make sure that we REALLY CAN get your data back - we offer you to decrypt 2 random files completely free of charge. You can contact our team directly for further instructions through our website : TOR VERSION : (you should download and install TOR browser first https://torproject.org) http://contirecj4hbzmyzuydyzrvm2c65blmvhoj2cvf25zqj2dwrrqcq5oad.onion/ HTTPS VERSION : https://contirecovery.best YOU SHOULD BE AWARE! Just in case, if you try to ignore us. We've downloaded a pack of your internal data and are ready to publish it on out news website if you do not respond. So it will be better for both sides if you contact us as soon as possible. ---BEGIN ID--- LIWbhjWA4NuT0LYbU9H0YvlZymiklj8dVCiqsqhOfxX282IXcMgIcUnfBH3Cmtm6 ---END ID---
URLs

http://contirecj4hbzmyzuydyzrvm2c65blmvhoj2cvf25zqj2dwrrqcq5oad.onion/

https://contirecovery.best

Extracted

Path

C:\readme.txt

Ransom Note
��ðof your files are currently encrypted by CONTI strain. As you know (if you don't - just "google it"), all of the data that has been encrypted by our software cannot be recovered by any means without contacting our team directly. If you try to use any additional recovery software - the files might be damaged, so if you are willing to try - try it on the data of the lowest value. To make sure that we REALLY CAN get your data back - we offer you to decrypt 2 random files completely free of charge. You can contact our team directly for further instructions through o����ebsite : TOR VERSION : (you should download and install TOR browser first https://torproject.org) http://contirecj4hbzmyzuydyzrvm2c65blmvhoj2cvf25zqj2dwrrqcq5oad.onion/ HTTPS VERSION : https://contirecovery.best YOU SHOULD BE AWARE! Just in case, if you try to ignore us. We've downloaded a pack of your internal data and are ready to publish it on out news website if you do not respond. So it will be better for both sides if you contact us as soon as possible. ---BEGIN ID--- LIWbhjWA4NuT0LYbU9H0YvlZymiklj8dVCiqsqhOfxX282IXcMgIcUnfBH3Cmtm6 ---END I�҂�����;"%c�����Ge��O�S�8W��u���޺�V"���@��Ԥ�>��`L=˴� 袦�P�r�� _��?�lY��.�6�}/I�"_]`�^�cf�*����wr�l�����Q'Gu��N�������`��zm0��a� �ix7�M2yH�Bd{��{㧹p5`�qB.Hՠ�#������������ٔL��&)� /����?ɥ��ʸ��`����v@�f&rH=�y�–�'R�^��[][ r�� ��W��$��MôX��auu� x����?4���t�1�>��ř�:�8�O�����^��.Ϧ0�v,ua�wb��gP
URLs

http://contirecj4hbzmyzuydyzrvm2c65blmvhoj2cvf25zqj2dwrrqcq5oad.onion/

https://contirecovery.best

Extracted

Family

bitrat

Version

1.34

C2

zwlknt25w6fs6ffnkllvutcepgp7mz6dsndkbki4l2fr27rnk7o4b7yd.onion:80

Attributes
  • communication_password

    81dc9bdb52d04dc20036dbd8313ed055

  • tor_process

    TORBUILD

Extracted

Path

C:\Program Files\Common Files\94D99C-Readme.txt

Ransom Note
Hi! Your files are encrypted. All files for this computer has extension: .94d99c Your filenames can be changed too, except extensions for free decrypt. -- If for some reason you read this text before the encryption ended, this can be understood by the fact that the computer slows down, and your heart rate has increased due to the ability to turn it off, then we recommend that you move away from the computer and accept that you have been compromised. Rebooting/shutdown will cause you to lose files without the possibility of recovery. -- Our encryption algorithms are very strong and your files are very well protected, the only way to get your files back is to cooperate with us and get the decrypter program. Do not try to recover your files without a decrypter program, you may damage them and then they will be impossible to recover. -- For us this is just business and to prove to you our seriousness, we will decrypt you few files for free. Just open our website, upload the encrypted files and get the decrypted files for free. Additionally, you must know that your sensitive data has been stolen by our analyst experts and if you choose to no cooperate with us, you are exposing yourself to huge penalties with lawsuits and government if we both don't find an agreement. We have seen it before; cases with multi million costs in fines and lawsuits, not to mention the company reputation and losing clients trust and the medias calling non-stop for answers. Come chat with us and you could be surprised on how fast we both can find an agreement without getting this incident public. -- *** IF YOU ARE AN EMPLOYER OF A COMPANY THEN YOU SHOULD KNOW THAT SPREADING SENSITIVE INFORMATION ABOUT YOUR COMPANY BEING COMPROMISED IS A VIOLATION OF CONFIDENTIALITY. YOUR COMPANY'S REPUTATION WILL SUFFER AND SANCTIONS WILL BE TAKEN AGAINST YOU. -- WE HIGHLY SUGGEST THAT YOU DON'T CONTACT THE AUTHORITIES REGARDING THIS INCIDENT BECAUSE IF YOU DO, THEN AUTHORITIES WILL MAKE THIS PUBLIC WHICH COMES WITH A COST FOR YOUR ENTERPRISE. THE RECOVERY PROCESS OF YOUR FILES WILL BE FASTER IF YOU COME AND CHAT WITH US EARLY. IF YOU CHOOSE TO COOPERATE, YOU WILL SEE THAT WE ARE PROFESSIONALS WHO GIVES GOOD SUPPORT. *** -- Steps to get access on our website: 1.Download and install tor-browser: https://torproject.org/ 2.Open our website: pb36hu4spl6cyjdfhing7h3pw6dhpk32ifemawkujj4gp33ejzdq3did.onion If the website is not available, open another one: rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd.onion 3.Put your personal code in the input form: {code_94d99c: 2I2WDzj7WgCFaMhVoqa288gO+92CVKFabquBg2MZQxtKLzVHRR imTyUurBGuGn/9J6a3n2WuZGXXRgHaVuP24C8fIKFHG/8SksBn UAic2ZS0cvRmoLQ9wQLtOS1gcSJ7IYwAk3XFePp+ibZK7GSi3H veRW72/U6MLOHq/lvHgZxzQU425B8tkCxWhI1IKPakEwE/watS nqIGgkX8B73YOLT8cLJHm/GAXdjidG3cJZFJa3LeOrie6xR2nC dRu5q8NO160dXiN9GhE9RcO4JEGuuovBZEKD4/XA==}
URLs

http://pb36hu4spl6cyjdfhing7h3pw6dhpk32ifemawkujj4gp33ejzdq3did.onion

http://rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd.onion

Extracted

Family

agenttesla

Credentials

  • Protocol:     smtp
  • Host:
    web2.changeip.com
  • Port:
    587
  • Username:
    [email protected]
  • Password:
    2*xaR!aKyovu

Extracted

Path

\Device\HarddiskVolume1\Boot\de-DE\YOUR_FILES_ARE_ENCRYPTED.HTML

Ransom Note
<!DOCTYPE html> <html lang="en"> <head> <meta charset='utf-8'> <meta name='viewport' content='width=device-width,initial-scale=1'> <title></title> <style> html, body { background-color: #1a1a1a; } body { padding-top: 3rem !important; } #text h2 { color: white; font-size: 2rem; font-weight: 600; line-height: 1.125; } .tabs { -webkit-overflow-scrolling: touch; align-items: stretch; display: flex; font-size: 1rem; justify-content: space-between; overflow: hidden; overflow-x: hidden; overflow-x: auto; white-space: nowrap; } .tabs ul { align-items: center; border-bottom-color: #454545; border-bottom-style: solid; border-bottom-width: 1px; display: flex; flex-grow: 1; flex-shrink: 0; justify-content: flex-start; } .tabs.is-toggle ul { border-bottom: none; } .tabs li { position: relative; } .tabs li { display: block; } .tabs.is-toggle li.is-active a { background-color: white; border-color: white; color: rgba(0, 0, 0, 0.7); z-index: 1; } .tabs.is-toggle li:first-child a { border-top-left-radius: 3px; border-bottom-left-radius: 3px; } .tabs li.is-active a { border-bottom-color: white; color: white; } .tabs.is-toggle a { border-color: #454545; border-style: solid; border-width: 1px; margin-bottom: 0; position: relative; } .tabs a { align-items: center; border-bottom-color: #454545; border-bottom-style: solid; border-bottom-width: 1px; color: white; display: flex; justify-content: center; margin-bottom: -1px; padding: 0.5em 1em; vertical-align: top; cursor: pointer; } .tabs.is-toggle li:last-child a { border-top-right-radius: 3px; border-bottom-right-radius: 3px; } .container { max-width: 1152px; max-width: ; flex-grow: 1; margin: 0 auto; position: relative; width: auto; } .box { background-color: #242424; color: white; display: block; padding: 1.25rem; border: 1px solid #303030; } blockquote { background: hsl(0, 0%, 20%); padding: 1rem; border-left: 3px solid #55a630; } a { color: #e55934; } </style> <script> let text = { en: `<h2> Whats Happen? </h2> We got your documents and files encrypted and you cannot access them. To make sure we�re not bluffing just check out your files. Want to recover them? Just do what we instruct you to. If you fail to follow our recommendations, you will never see your files again. During each attack, we copy valuable commercial data. If the user doesn’t pay to us, we will either send those data to rivals, or publish them. GDPR. Don’t want to pay to us, pay 10x more to the government. <h2> What Guarantees? </h2> We’re doing our own business and never care about what you do. All we need is to earn. Should we be unfair guys, no one would work with us. So if you drop our offer we won’t take any offense but you’ll lose all of your data and files. How much time would it take to recover losses? You only may guess. <h2> How do I access the website? </h2> <ul> <li><a href="https://torproject.org" target="_blank">Get TOR browser here</a></li> <li><a href="http://ebwexiymbsib4rmw.onion/chat.html?9bff5bcf2d-6b0a4396f3-30946f92ad-ea4b26da41-d9a275b58a-ba1088fd44-fd5aae80df-38b9b849ab">Go to our website</a></li> </ul>`, de: `<h2> Was ist gerade passiert? </h2> Wir haben Ihre Dokumente und Dateien verschlüsselt und Sie können nicht mehr darauf zugreifen. Jeder Angriff wird von einer Kopie der kommerziellen Informationen begleitet. Um sicherzustellen, dass wir es ernst meinen, prüfen Sie einfach Ihre Dateien und Sie werden sehen. Möchten Sie sie wiederherstellen? Halten Sie sich einfach an unsere Anweisungen, um uns zu bezahlen. Tuen Sie dies nicht, werden Sie Ihre Dateien niemals wiedersehen. Im Falle einer Zahlungsverweigerung werden die Daten entweder an Wettbewerber verkauft oder in offenen Quellen bereitgestellt. GDPR. Wenn Sie uns nicht bezahlen möchten, zahlen Sie das Zehnfache an der Regierung. <h2> Wie sollten Sie uns trauen ? </h2> Wir machen unsere eigenen Geschäfte und kümmern uns nicht darum was Sie tunen. Wir müssen nur verdienen. Sollten wir einfach nur bluffen, würde niemand an uns zahlen. Wenn Sie unser Angebot ablehnen, werden Sie alle Ihre Daten für immer verlieren. Wie viel Zeit werden Sie brauchen um ihre Daten selber zu ersetzen ? Sie können es sich schon denken. <h2> Unsere Forderungen </h2> <ul> <li><a href="https://torproject.org" target="_blank">Holen Sie sich den TOR-Browser hier</a></li> <li><a href="http://ebwexiymbsib4rmw.onion/chat.html?9bff5bcf2d-6b0a4396f3-30946f92ad-ea4b26da41-d9a275b58a-ba1088fd44-fd5aae80df-38b9b849ab">Gehen Sie auf unsere Website</a></li> </ul>`, fr: `<h2> Qu'est-ce qui vient de se passer? </h2> Nous avons crypté vos documents et fichiers et vous ne pouvez pas y accéder. Chaque attaque est accompagnée d'une copie des informations commerciales. Pour vous assurer que nous ne bluffons pas. Voulez-vous les restaurer? Faites juste ce que nous vous demandons, pour nous payer. Si vous ne suivez pas nos recommandations, vous ne verrez plus jamais vos fichiers. En cas de refus de paiement - les données seront soit revendues à des concurrents, soit diffusées dans des sources ouvertes. GDPR. Si vous ne voulez pas nous payer, payez x10 fois le gouvernement. <h2> Qu'en est-il des garanties? </h2> Nous faisons nos propres affaires et ne nous soucions jamais de ce que vous faites. Tout ce dont nous avons besoin est de gagner de l'argent. Si nous devions être injustes, personne ne travaillerait avec nous. Donc, si vous abandonnez notre offre, nous ne prendrons aucune infraction, mais vous perdrez toutes vos données et vos fichiers. Combien de temps faudrait-il pour récupérer les pertes? Vous pouvez seulement deviner. <h2> Comment puis-je accéder au site web? </h2> <ul> <li><a href="https://torproject.org" target="_blank">Téléchargez le navigateur TOR ici</a></li> <li><a href="http://ebwexiymbsib4rmw.onion/chat.html?9bff5bcf2d-6b0a4396f3-30946f92ad-ea4b26da41-d9a275b58a-ba1088fd44-fd5aae80df-38b9b849ab">Allez sur notre site web</a></li> </ul>`, es: `<h2> ¿Lo que de pasar? </h2> Ya tenemos sus documentos y archivos encriptados y usted no puede acceder a ellos. Para asegurarse de que no estamos faroleando. ¿Quiere recuperarlos? Sólo haga lo que le indicamos. Si usted no sigue nuestras recomendaciones, usted nunca verá sus archivos. Durante cada ataque, copiamos los datos comerciales valiosos. Si el usuario no nos paga, enviaremos estos datos a sus rivales o los publicaremos. GDPR. No quiere pagarnos, paga 10 veces más al gobierno. <h2> ¿Qué pasa con las garantías? </h2> Estamos haciendo nuestro propio negocio y nunca nos importa lo que hace usted. Todo lo que necesitamos es ganar. Hay que ser injustos chicos, nadie trabajaría con nosotros. Entonces, si deja caer nuestras propuestas, no nos ofenderemos pero usted perderá todos sus datos y archivos. ¿Cuánto tiempo se requiere para recuperar las pérdidas? Sólo usted puede adivinar. <h2> ¿Cómo acceder al sitio web? </h2> <ul> <li><a href="https://torproject.org" target="_blank">Obtenga el navegador TOR aquí</a></li> <li><a href="http://ebwexiymbsib4rmw.onion/chat.html?9bff5bcf2d-6b0a4396f3-30946f92ad-ea4b26da41-d9a275b58a-ba1088fd44-fd5aae80df-38b9b849ab">Vaya a nuestro sitio web</a></li> </ul>`, jp: `<h2> 何があったのですか? </h2> ドキュメントとファイルを暗号化しました。 それらにアクセスすることはできません。 ブラフしないようにするには、 ファイルをチェックアウトして、すべてが。 それらを回復したいですか? ただや る 指示すること。 指示に従わない場合、ファイルは二度と表示されません。 各攻撃中に、貴重な商用データをコピーします。 ユーザーが当社に支払わない場合は、それらのデータをライバルに送信するか、公開します。 <h2> 何が保証されますか ? </h2> 私たちは私たち自身のビジネスを行っており、あなたが何をするかを気にしません。 必要なのは稼ぐことだけです。 私たちが不公平な人である場合、誰も私たちと一緒に働くことはありません。 ですから、あなたが私たちの申し出をやめても、私たちは何の罪も犯しません すべてのデータとファイルが失われます。 損失を回復するのにどれくらい時間がかかりますか? 推測するだけです。 <h2> Webサイトにアクセスするにはどうすればよいですか? </h2> <ul> <li><a href=" https://torproject.org " target="_blank">ここで TORブラウザを入手 </a></li> <li><a href="http://ebwexiymbsib4rmw.onion/chat.html?9bff5bcf2d-6b0a4396f3-30946f92ad-ea4b26da41-d9a275b58a-ba1088fd44-fd5aae80df-38b9b849ab">当社のウェブサイトにアクセス </a></li> </ul>` }; function sel_lang(event) { let active = document.getElementsByClassName('is-active')[0]; active.classList.remove('is-active'); event.target.parentElement.classList.add('is-active'); let lang = event.target.getAttribute('data-lang'); let el = document.getElementById('text'); el.innerHTML = text[lang]; } document.addEventListener("DOMContentLoaded", ()=>{ let el = document.getElementById('text'); el.innerHTML = text['en']; }); </script> </head> <body class='pt-6'> <div class='container'> <div class="tabs is-toggle"> <ul> <li class="is-active"><a onclick='sel_lang(event);' data-lang='en'>EN</a></li> <li class=""><a onclick='sel_lang(event);' data-lang='de'>DE</a></li> <li class=""><a onclick='sel_lang(event);' data-lang='fr'>FR</a></li> <li class=""><a onclick='sel_lang(event);' data-lang='es'>ES</a></li> <li class=""><a onclick='sel_lang(event);' data-lang='jp'>JP</a></li> </ul> </div> <div class='box'> <div id='text'></div> <div style='border: 1px solid red; padding: .5rem; font-size: 1.3rem; font-weight: 500; margin: 3rem 0;'> <div class='title is-4'> In case you decide not to cooperate, your private data will be published <a style='color: #46a049; text-decoration: underline;' target='_blank' href='http://nbzzb6sa6xuura2z.onion/'>here</a> or sold. </div> </div> <div style='margin-top: 2rem;'> <h2>Offline how-to</h2> <p>Copy & Paste this secret message to <a href="http://ebwexiymbsib4rmw.onion">this page</a> textarea field</p> <p><blockquote>14e757a90c1cfd6d95c2b3bb736884f756aa75130d988873cd549789c0ef8799a3d51b021cfb3d9091bb03248e38e3bf</blockquote></p> </div> </div> </div> </body> </html>������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������

Targets

    • Target

      RNSM00421.7z

    • Size

      35.5MB

    • MD5

      3c6abe1464fd267a85e8ccbcc66eeb76

    • SHA1

      2406fd40ed8faf9b2baf746b3b0782d6307447d0

    • SHA256

      f85a2bf5e2f264cca9ae7550fe523a291661f675dec92ffad4bcd215464a4bf2

    • SHA512

      ed71f9b69245833bdbe4c072a0ae402f1721d33a30d92f129c67d089f70a97f1ac012b6fdfb4bba1dff3764d1cb2012a9f66338326a3e568743b3c5989d664ec

    • SSDEEP

      786432:1V/13fdiK7G5z6iIJnz4qXUoPayG8Gk+OWiN71U6n:1dVJKEiIJUqXUOlFpN71UM

    Score
    10/10
    agentteslabitratcontigluptebamodiloadersodinokibi$2a$10$l5pxoxmpqpbnzwibmn2zhoe/po6pinqeq2qiy7ml5ccjz9wddxojo6475discoverydropperexecutionkeyloggerloaderransomwarespywarestealertrojanupx

    • AgentTesla

      Agent Tesla is a remote access tool (RAT) written in visual basic.

      keyloggertrojanstealerspywareagenttesla

    • Agenttesla family

      agenttesla

    • BitRAT

      BitRAT is a remote access tool written in C++ and uses leaked source code from other families.

      trojanbitrat

    • Bitrat family

      bitrat

    • Conti Ransomware

      Ransomware generally thought to be a successor to Ryuk.

      ransomwareconti

    • Conti family

      conti

    • Glupteba

      Glupteba is a modular loader written in Golang with various components.

      loaderdropperglupteba

    • Glupteba family

      glupteba

    • Glupteba payload

    • ModiLoader, DBatLoader

      ModiLoader is a Delphi loader that misuses cloud services to download other malicious families.

      trojanmodiloader

    • Modiloader family

      modiloader

    • Sodin,Sodinokibi,REvil

      Ransomware with advanced anti-analysis and privilege escalation functionality.

      ransomwaresodinokibi

    • Sodinokibi family

      sodinokibi

    • AgentTesla payload

    • ModiLoader Second Stage

    • Command and Scripting Interpreter: PowerShell

      Run Powershell to modify Windows Defender settings to add exclusions for file extensions, paths, and processes.

      execution

    • Downloads MZ/PE file

    • Executes dropped EXE

    • Legitimate hosting services abused for malware hosting/C2

    • Looks up external IP address via web service

      Uses a legitimate IP lookup service to find the infected system's external IP.

    • UPX packed file

      Detects executables packed with UPX/modified UPX open source packer.

      upx
    behavioral1

MITRE ATT&CK Enterprise v15

Tasks