General

  • Target

    RNSM00321.7z

  • Size

    698KB

  • Sample

    241112-w51xdaydml

  • MD5

    c3c47dc6a6850965b33668270f609ed7

  • SHA1

    381f33dd1af4360a5e85a561587cfc9c5628a7b8

  • SHA256

    cf84b6904959baa0816cd0cb39f834844b61c03bd9fa6764b4938de38bca1285

  • SHA512

    4eced74f01ca99ba28ce8a4a6d108091fbe1e07ca1dbe3a1fce3d73125576df4924c968cdffbff8041c13880e8997d582a8cf1c87b666bc186710694d5f3f08d

  • SSDEEP

    12288:uzPSYgHUHPvtCKW+oA7ximOPybKrCAq2WjfgpgsGYbfe5e0R4U5E:u73vttAmOEKrCjljfgmsRfees4Uy

Malware Config

Extracted

Path

C:\MSOCache\RESTORE-SIGRUN.html

Ransom Note
<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>SIGRUN</title> <style type="text/css"> .btn { background: #101000; border-radius: 0px; font-family: tahoma; font-weight:bold; color: #FFFFFF; font-size: 8px; padding: 4px 14px 4px 14px; text-decoration: none; } .btn:hover { background: #3cbffd; text-decoration: none; } .col { background: #001020; /* ЦBeT фoHa */ width: 60%; /* ШиpиHa блoкa */ padding: 15px; /* Пoля */ font-size: 0.5em; /* PaзMep шpифTa */ word-wrap: break-word; /* ПepeHoc cлoB */ text-align: center } body { min-width: 100px;}#container{background:#101000;}#container .column{position:relative; float:center;}#center{padding:10px 10px;width:100%;}#footer{clear:both;}* html #left {left:150px;}* html body{overflow:hidden;}* html #footer-wrapper{float:left;position: relative;width: 100%;padding-bottom:10010px;margin-bottom:-10000px;background:#1E90FF;}body {margin: 0;padding: 0;font-family:tahoma;font-weight:bold;}#header {font-family:tahoma;font-weight:bold;padding: 1.0em;background: #E6E6FA;}#footer {font-size: large;font-family:impact;line-height: 0.1px;padding: 1.0em;background: #E6E6FA;}#center {background: #101000;}</style></head><body style="background-color:#E6E6FA;"> <header id="header"> <font size="6" color="#101000"><p align="center">SIGRUN <font color="EE0000">1.0</font> RANSOMWARE</p> </font> </header> <div id="container"> <main id="center" class="column"> <article> <p align="center"> <font color="EE0000" size ="6"> <script> document.write("All your important files are encrypted"); </script></font></p><font color="#E6E6FA" size="4" weight="lighter"><p align="center"> <script> var hex = ` 94 04 00 00 31 15 05 00 8a cc 65 f9 9a 26 25 07 12 a0 aa 69 11 71 3d 21 52 4f e0 e5 07 0e 71 ba 33 0a a5 83 9a 7f f4 ba a4 73 ad 29 7b 79 25 1c a2 fd 68 27 e0 05 13 de 39 c5 fa 59 88 7f fc 94 56 b7 27 e8 11 d6 f2 19 1c 66 09 1b 08 0e 1e a2 41 22 44 fc 3f 72 b1 b3 f7 c0 1d 4a 6c 05 38 02 88 6e 0d 96 2c 94 34 76 f1 ad 26 d1 dd e3 96 0b e5 97 87 47 de c4 dd f5 79 f2 4f 74 30 d7 d6 c5 ac 4f 67 ff 46 c0 b1 8b 5f d3 fe 6d b8 38 f8 cb 8c 0f cd 1b d6 e0 de d0 41 0a 7d ef 88 70 28 b6 8f d3 08 a1 c8 df 20 75 3a f2 23 c6 46 17 a6 42 2a 80 f4 b7 74 fd e9 46 46 4f 46 3f f8 87 68 cb 17 22 68 62 a7 ed 6a f9 09 63 67 e5 fb 0a 9e 6d ba f2 8c 2a 8d bc a5 a0 36 87 31 5e f3 62 fa ad ae f9 97 85 d5 17 ab 6f 6c 49 7f 0b ad 4d b9 ae dc 05 e2 d6 af 6e d2 80 61 41 47 db 67 25 f1 26 b6 9a e3 1e f8 be 48 e6 26 9d 48 d2 ea f6 13 bc 78 6d 06 90 ec bd 34 c4 67 f2 26 6b 86 11 b3 9c 27 df d4 41 ad fb d5 f0 c1 70 35 7f 01 fb af 11 06 40 fa 1c 0d c3 9e 7d db 4d de ac 10 61 fe 84 d4 75 80 a5 0c ab 83 e5 cc e5 a5 ae 4d 73 5f 71 d1 29 9f 64 a7 b0 0d 7c c1 9a 56 66 ce 27 fe c0 d5 b6 39 6e 77 53 77 80 8c 47 e8 95 7a 80 e4 49 75 5b 19 c8 d4 02 3a c3 24 9a 6e 07 49 a6 4c 72 44 96 5b 5c 94 95 0b 7d 0d 62 6d c1 24 8b 2c 39 55 42 2b 43 d4 23 59 3d f5 62 16 26 bd 74 da 64 8d 4e 2a 8f 12 77 74 28 85 fe 69 73 18 42 23 95 ca e7 68 2c cd 68 88 b6 8c ca fd 82 04 f5 4c 4f 1d 2c a3 7d fb d9 ab 6b bd f1 1c c1 d7 be d4 ca c4 fc 8c ff d4 b1 2e c4 36 a9 d5 9f f4 00 fe d9 b4 f4 ae 61 75 e2 da 8a 47 21 8d b7 e0 c4 f9 bd f4 43 17 7f 2f 5b ce 9e 89 4a 08 6a d1 13 c4 c7 ad d1 87 18 ba 93 84 5f b1 62 9e cf 00 6a 49 21 a7 2b a8 22 25 36 a4 9b cc c1 ff 59 4d 29 4b e3 4c 5e 83 bf e7 ed 23 24 5d 86 de 4c e4 ae bc b9 21 d8 7c e8 ba 41 1a 8b 5a 8d d3 f0 d7 c3 11 2f 2f 26 15 7d 2e a7 7f 8d 28 4e 03 d7 49 0b de f6 80 e1 e5 34 67 11 53 86 b3 fb 69 ba 79 11 40 f1 39 a1 c9 87 77 aa ce 6b 48 87 3e c2 66 09 27 6e 82 53 68 39 2c 71 ec b3 96 a9 f3 f8 96 53 c9 d2 34 a0 02 f6 72 af 81 ce b5 9e a5 1f 64 d1 06 e8 2a 85 fa 54 91 1e 7d b9 d2 1a dd 34 95 23 79 31 a1 2b 8d 4d 69 ff f2 32 79 f8 aa d1 15 4c 4d 70 11 61 ea 9c 8a e2 33 be 8d 9a d7 09 13 e0 d5 89 97 4a 23 58 3b c5 80 0c 75 6c 9a 23 3b dd 5c 0b 68 a6 c6 7b cf 97 3f 26 c5 31 4b 80 10 be e0 39 47 e3 42 db 30 0a 85 08 bd e0 58 33 cc bd b5 7f e5 92 0e 4e 6e 1e 39 19 7e d0 8b 27 97 a5 d5 58 ee 64 ce 2f 6a ce 94 fd 2e 2f 15 f2 eb 4e 22 c4 53 7a e8 f3 0d 7b 1d 1e 46 90 5a 8c af 00 48 47 9f de 38 f7 48 29 1f cb 37 2c 68 d7 f6 df 12 51 db a8 2a 74 c5 06 28 dd 1b 1c ea c4 67 e8 de fb 30 2e c7 96 08 ad 4a 3a 08 3d 44 7a 0e c3 2b 14 b6 3e b5 37 db 69 5b f2 7d 2c 50 b0 ca a5 16 96 df 40 49 37 83 87 e7 1c 1c 08 01 57 bb db 08 85 fd 68 35 62 76 12 f2 e0 4c 56 1d 21 56 f6 c2 fc 9a 6a cc 7c 96 e7 1c ae 91 56 8d 0a e1 ee 6b b8 e7 5f be 5e cb 57 7c a1 d7 c2 9f f3 de 89 0d fa 11 2d fd 17 27 81 5c 41 0d a1 55 46 c3 b2 d9 b4 23 43 8d 4e b0 d5 f4 5c 4a 05 54 ba 64 31 55 7d 87 5d 3f d0 e6 73 cf e9 bd 2b 9d ef 6b 48 7f ae aa 3c 54 a7 e9 79 0b 03 c7 ad 63 e8 c6 39 9f 82 f2 8b cd d3 f0 02 77 e8 05 16 f1 85 ff 0b 13 ff f9 4a 6e 74 94 c3 4a 5d 87 56 ad de 49 68 d7 8c cb 7a 3e 5c d1 4c 81 60 ce 70 f2 c9 5f 9e b6 5c 7b 47 4c 14 8a 8f bb f4 9d e0 63 0e 89 83 f8 f5 46 eb 22 15 fa 2a 44 3a cf 88 a4 6d 27 ec 7f 5a 9b 6f 5b e0 ef 8f e4 4c 13 8c b8 e7 99 3e 38 0b 08 48 1c 3b df bc 19 77 53 7f a4 85 63 be 72 21 68 7e cc 66 5d c4 e2 4b 4f c3 49 ea ae 9e 0c 07 0c 8a 43 bf 5e ed e4 ec 90 ba 72 15 61 7a f3 dc 5e 4e 61 ed 4e ee 1a 02 37 e0 cb 8f f1 b2 6e 39 40 f4 a0 08 3f bf 6f 2c 21 fe 2e 51 33 3a 18 e6 d9 3b 78 cf 62 86 00 31 53 d8 75 cf eb 4e d0 a9 6f cd 0f e3 32 35 5d 41 85 af e1 af 9c 9f be fb e8 41 4c 34 cc 49 0a a6 b4 e5 ed e4 cb 58 37 23 7a cc 34 60 4c 77 59 6c 72 2a 51 03 65 ce 37 06 a8 f1 d6 0a 6a 6a 0c c0 c3 b3 74 fa 50 b7 28 fb a4 a1 37 f0 a8 f5 91 bb 79 b2 2a 84 46 15 5b ce fb ad 7d f2 91 73 14 1c 2b bd 27 45 17 70 ba 49 40 0e c3 99 0f 37 27 cc db 74 b2 bf d1 f9 a9 58 b7 9f 0d 46 19 04 cb ca 9f a8 3a 80 93 26 34 47 e1 91 3a a3 77 43 6a ff 3d bf 87 78 44 c6 88 df d4 15 35 11 ef ac 3c f8 47 eb 88 49 ec 43 1e f1 6c 5b 3e 24 ed 39 5c 7e b6 eb 3d d3 b0 35 30 56 46 e3 f5 77 fa 04 0f 08 25 78 a2 59 22 5a 0d 63 ba ba 0c bc c7 3b 76 f1 78 65 ed 23 6f 5e 4f 11 25 f1 46 b7 37 02 0e f9 0f 0c 80 4a 8e c0 e6 96 70 ef 61 9c f1 51 1d b7 f3 3a 43 c6 a2 2e bc e3 af 46 26 e5 9d 82 ff bd a2 16 f8 9f 0b 2d 12 14 eb 0e af 83 07 c8 9d 37 d2 cb 48 c2 97 da c8 89 bd f8 19 38 c5 0c 63 d8 4f 24 66 3e 88 1c d6 28 9c a8 bc 68 f4 2f 7a 42 69 cd 00 f5 b4 f8 cd fe 7a 64 c1 18 3c 10 80 3d fa 22 99 ac 12 83 16 7e 63 ba c8 9a 22 83 b5 97 52 c7 d9 35 b8 c7 00 1a 60 b7 cb 58 84 51 a5 0f 9e 97 c9 0e 6b 80 cf 4a 33 a3 56 7d 66 c8 01 55 7a bb 62 2f d7 40 08 a0 76 d0 b1 45 73 bb df 19 9b b6 53 ee f0 31 a0 e8 d0 20 92 44 ce d7 8d b5 fe 5b 2e 42 fa 74 5c e0 b7 b0 0d 8e c7 1a 2b 9b d3 05 79 89 69 e3 46 bb 9f a2 50 2f 43 4b 75 0d 2a ff cf 73 78 60 23 74 8b 47 39 8f 81 51 13 97 2f 5b 2e d2 e9 cb 7d cd 42 51 2b 55 ea f4 ec 22 56 9b b1 d1 6b 9c 08 43 eb e6 6f 75 f3 8e 84 6d cc ea 83 d5 e3 ad dc 50 e4 5b 9f 08 5c 1f ea 10 5f bf 2b 2c 95 50 53 3e 0c b8 a1 e3 9a 6c f5 61 `; var cUrl = document.URL; var key = "<div align=\'center\'><font color=\"#E8FF8F\">IDKEY:</font><font color=\'#00FF00\' size=\'2'\><div class=\'col'\>>>>"+hex+"<<<</div></font></div><font color=\'#00FF00\'>"; var a1 = "<p align=\"center\">"; var link = "<a href>https://www.bitcoin.com/buy-bitcoin</a> and <a href>https://www.dash.org/exchanges/</a>" document.write("Your files has been encrypted by sigrun ransomware with unique decryption key.</p>"+a1+"There is&nbsp;&nbsp;only one way&nbsp;&nbsp; to get your files back:&nbsp;&nbsp;contact with us,&nbsp;&nbsp;pay,&nbsp;&nbsp;and get &nbsp;<font color=\"#00FF00\">decryptor software.</font>&nbsp;"+a1+"We accept Bitcoin and Dash, &nbsp;you can find exchangers on "+link+"&nbsp;&nbsp;and others.</p>"+a1+"You have unique idkey (in a dark blue frame), write it in letter when contact with us.</p>"+a1+"Also you can decrypt 3 files for test, its guarantee what we can decrypt your files.</p>"+key+a1+"Contact information:</p>"); </script> <p align="center">email: [email protected]&nbsp<//p><p align="center"><//p><//font><//article><//main><//div> <div id = "footer - wrapper"><footer id="footer"><header id="header"><font size="1" color="#1E90FF"><//font><//header><//footer><//div><audio autoplay preload="auto" style=" width:1px; "><source src="https://files.freemusicarchive.org/music%2FOddio_Overplay%2FJohn_Harrison_with_the_Wichita_State_University_Chamber_Players%2FThe_Four_Seasons_Vivaldi%2FJohn_Harrison_with_the_Wichita_State_University_Chamber_Players_-_01_-_Spring_Mvt_1_Allegro.mp3" type="audio//mpeg"><//audio><//br><//body><//html>
Emails

[email protected]&nbsp<//p><p

URLs

http-equiv="Content-Type"

Extracted

Path

C:\MSOCache\RESTORE-SIGRUN.txt

Ransom Note
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~ Attention! All your files documents, photos, databases and other important files are encrypted and have the extension: .sigrun The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files. But don't worry! You still can restore it! In order to restore it you need to contact with us via e-mail. ----------------------------------------------- | Our e-mail is: [email protected] | ----------------------------------------------- As a proof we can decrypt 3 files for free! Please, attach this to your message: 94 04 00 00 31 15 05 00 8a cc 65 f9 9a 26 25 07 12 a0 aa 69 11 71 3d 21 52 4f e0 e5 07 0e 71 ba 33 0a a5 83 9a 7f f4 ba a4 73 ad 29 7b 79 25 1c a2 fd 68 27 e0 05 13 de 39 c5 fa 59 88 7f fc 94 56 b7 27 e8 11 d6 f2 19 1c 66 09 1b 08 0e 1e a2 41 22 44 fc 3f 72 b1 b3 f7 c0 1d 4a 6c 05 38 02 88 6e 0d 96 2c 94 34 76 f1 ad 26 d1 dd e3 96 0b e5 97 87 47 de c4 dd f5 79 f2 4f 74 30 d7 d6 c5 ac 4f 67 ff 46 c0 b1 8b 5f d3 fe 6d b8 38 f8 cb 8c 0f cd 1b d6 e0 de d0 41 0a 7d ef 88 70 28 b6 8f d3 08 a1 c8 df 20 75 3a f2 23 c6 46 17 a6 42 2a 80 f4 b7 74 fd e9 46 46 4f 46 3f f8 87 68 cb 17 22 68 62 a7 ed 6a f9 09 63 67 e5 fb 0a 9e 6d ba f2 8c 2a 8d bc a5 a0 36 87 31 5e f3 62 fa ad ae f9 97 85 d5 17 ab 6f 6c 49 7f 0b ad 4d b9 ae dc 05 e2 d6 af 6e d2 80 61 41 47 db 67 25 f1 26 b6 9a e3 1e f8 be 48 e6 26 9d 48 d2 ea f6 13 bc 78 6d 06 90 ec bd 34 c4 67 f2 26 6b 86 11 b3 9c 27 df d4 41 ad fb d5 f0 c1 70 35 7f 01 fb af 11 06 40 fa 1c 0d c3 9e 7d db 4d de ac 10 61 fe 84 d4 75 80 a5 0c ab 83 e5 cc e5 a5 ae 4d 73 5f 71 d1 29 9f 64 a7 b0 0d 7c c1 9a 56 66 ce 27 fe c0 d5 b6 39 6e 77 53 77 80 8c 47 e8 95 7a 80 e4 49 75 5b 19 c8 d4 02 3a c3 24 9a 6e 07 49 a6 4c 72 44 96 5b 5c 94 95 0b 7d 0d 62 6d c1 24 8b 2c 39 55 42 2b 43 d4 23 59 3d f5 62 16 26 bd 74 da 64 8d 4e 2a 8f 12 77 74 28 85 fe 69 73 18 42 23 95 ca e7 68 2c cd 68 88 b6 8c ca fd 82 04 f5 4c 4f 1d 2c a3 7d fb d9 ab 6b bd f1 1c c1 d7 be d4 ca c4 fc 8c ff d4 b1 2e c4 36 a9 d5 9f f4 00 fe d9 b4 f4 ae 61 75 e2 da 8a 47 21 8d b7 e0 c4 f9 bd f4 43 17 7f 2f 5b ce 9e 89 4a 08 6a d1 13 c4 c7 ad d1 87 18 ba 93 84 5f b1 62 9e cf 00 6a 49 21 a7 2b a8 22 25 36 a4 9b cc c1 ff 59 4d 29 4b e3 4c 5e 83 bf e7 ed 23 24 5d 86 de 4c e4 ae bc b9 21 d8 7c e8 ba 41 1a 8b 5a 8d d3 f0 d7 c3 11 2f 2f 26 15 7d 2e a7 7f 8d 28 4e 03 d7 49 0b de f6 80 e1 e5 34 67 11 53 86 b3 fb 69 ba 79 11 40 f1 39 a1 c9 87 77 aa ce 6b 48 87 3e c2 66 09 27 6e 82 53 68 39 2c 71 ec b3 96 a9 f3 f8 96 53 c9 d2 34 a0 02 f6 72 af 81 ce b5 9e a5 1f 64 d1 06 e8 2a 85 fa 54 91 1e 7d b9 d2 1a dd 34 95 23 79 31 a1 2b 8d 4d 69 ff f2 32 79 f8 aa d1 15 4c 4d 70 11 61 ea 9c 8a e2 33 be 8d 9a d7 09 13 e0 d5 89 97 4a 23 58 3b c5 80 0c 75 6c 9a 23 3b dd 5c 0b 68 a6 c6 7b cf 97 3f 26 c5 31 4b 80 10 be e0 39 47 e3 42 db 30 0a 85 08 bd e0 58 33 cc bd b5 7f e5 92 0e 4e 6e 1e 39 19 7e d0 8b 27 97 a5 d5 58 ee 64 ce 2f 6a ce 94 fd 2e 2f 15 f2 eb 4e 22 c4 53 7a e8 f3 0d 7b 1d 1e 46 90 5a 8c af 00 48 47 9f de 38 f7 48 29 1f cb 37 2c 68 d7 f6 df 12 51 db a8 2a 74 c5 06 28 dd 1b 1c ea c4 67 e8 de fb 30 2e c7 96 08 ad 4a 3a 08 3d 44 7a 0e c3 2b 14 b6 3e b5 37 db 69 5b f2 7d 2c 50 b0 ca a5 16 96 df 40 49 37 83 87 e7 1c 1c 08 01 57 bb db 08 85 fd 68 35 62 76 12 f2 e0 4c 56 1d 21 56 f6 c2 fc 9a 6a cc 7c 96 e7 1c ae 91 56 8d 0a e1 ee 6b b8 e7 5f be 5e cb 57 7c a1 d7 c2 9f f3 de 89 0d fa 11 2d fd 17 27 81 5c 41 0d a1 55 46 c3 b2 d9 b4 23 43 8d 4e b0 d5 f4 5c 4a 05 54 ba 64 31 55 7d 87 5d 3f d0 e6 73 cf e9 bd 2b 9d ef 6b 48 7f ae aa 3c 54 a7 e9 79 0b 03 c7 ad 63 e8 c6 39 9f 82 f2 8b cd d3 f0 02 77 e8 05 16 f1 85 ff 0b 13 ff f9 4a 6e 74 94 c3 4a 5d 87 56 ad de 49 68 d7 8c cb 7a 3e 5c d1 4c 81 60 ce 70 f2 c9 5f 9e b6 5c 7b 47 4c 14 8a 8f bb f4 9d e0 63 0e 89 83 f8 f5 46 eb 22 15 fa 2a 44 3a cf 88 a4 6d 27 ec 7f 5a 9b 6f 5b e0 ef 8f e4 4c 13 8c b8 e7 99 3e 38 0b 08 48 1c 3b df bc 19 77 53 7f a4 85 63 be 72 21 68 7e cc 66 5d c4 e2 4b 4f c3 49 ea ae 9e 0c 07 0c 8a 43 bf 5e ed e4 ec 90 ba 72 15 61 7a f3 dc 5e 4e 61 ed 4e ee 1a 02 37 e0 cb 8f f1 b2 6e 39 40 f4 a0 08 3f bf 6f 2c 21 fe 2e 51 33 3a 18 e6 d9 3b 78 cf 62 86 00 31 53 d8 75 cf eb 4e d0 a9 6f cd 0f e3 32 35 5d 41 85 af e1 af 9c 9f be fb e8 41 4c 34 cc 49 0a a6 b4 e5 ed e4 cb 58 37 23 7a cc 34 60 4c 77 59 6c 72 2a 51 03 65 ce 37 06 a8 f1 d6 0a 6a 6a 0c c0 c3 b3 74 fa 50 b7 28 fb a4 a1 37 f0 a8 f5 91 bb 79 b2 2a 84 46 15 5b ce fb ad 7d f2 91 73 14 1c 2b bd 27 45 17 70 ba 49 40 0e c3 99 0f 37 27 cc db 74 b2 bf d1 f9 a9 58 b7 9f 0d 46 19 04 cb ca 9f a8 3a 80 93 26 34 47 e1 91 3a a3 77 43 6a ff 3d bf 87 78 44 c6 88 df d4 15 35 11 ef ac 3c f8 47 eb 88 49 ec 43 1e f1 6c 5b 3e 24 ed 39 5c 7e b6 eb 3d d3 b0 35 30 56 46 e3 f5 77 fa 04 0f 08 25 78 a2 59 22 5a 0d 63 ba ba 0c bc c7 3b 76 f1 78 65 ed 23 6f 5e 4f 11 25 f1 46 b7 37 02 0e f9 0f 0c 80 4a 8e c0 e6 96 70 ef 61 9c f1 51 1d b7 f3 3a 43 c6 a2 2e bc e3 af 46 26 e5 9d 82 ff bd a2 16 f8 9f 0b 2d 12 14 eb 0e af 83 07 c8 9d 37 d2 cb 48 c2 97 da c8 89 bd f8 19 38 c5 0c 63 d8 4f 24 66 3e 88 1c d6 28 9c a8 bc 68 f4 2f 7a 42 69 cd 00 f5 b4 f8 cd fe 7a 64 c1 18 3c 10 80 3d fa 22 99 ac 12 83 16 7e 63 ba c8 9a 22 83 b5 97 52 c7 d9 35 b8 c7 00 1a 60 b7 cb 58 84 51 a5 0f 9e 97 c9 0e 6b 80 cf 4a 33 a3 56 7d 66 c8 01 55 7a bb 62 2f d7 40 08 a0 76 d0 b1 45 73 bb df 19 9b b6 53 ee f0 31 a0 e8 d0 20 92 44 ce d7 8d b5 fe 5b 2e 42 fa 74 5c e0 b7 b0 0d 8e c7 1a 2b 9b d3 05 79 89 69 e3 46 bb 9f a2 50 2f 43 4b 75 0d 2a ff cf 73 78 60 23 74 8b 47 39 8f 81 51 13 97 2f 5b 2e d2 e9 cb 7d cd 42 51 2b 55 ea f4 ec 22 56 9b b1 d1 6b 9c 08 43 eb e6 6f 75 f3 8e 84 6d cc ea 83 d5 e3 ad dc 50 e4 5b 9f 08 5c 1f ea 10 5f bf 2b 2c 95 50 53 3e 0c b8 a1 e3 9a 6c f5 61

Targets

    • Target

      RNSM00321.7z

    • Size

      698KB

    • MD5

      c3c47dc6a6850965b33668270f609ed7

    • SHA1

      381f33dd1af4360a5e85a561587cfc9c5628a7b8

    • SHA256

      cf84b6904959baa0816cd0cb39f834844b61c03bd9fa6764b4938de38bca1285

    • SHA512

      4eced74f01ca99ba28ce8a4a6d108091fbe1e07ca1dbe3a1fce3d73125576df4924c968cdffbff8041c13880e8997d582a8cf1c87b666bc186710694d5f3f08d

    • SSDEEP

      12288:uzPSYgHUHPvtCKW+oA7ximOPybKrCAq2WjfgpgsGYbfe5e0R4U5E:u73vttAmOEKrCjljfgmsRfees4Uy

    • Deletes shadow copies

      Ransomware often targets backup files to inhibit system recovery.

    • Renames multiple (284) files with added filename extension

      This suggests ransomware activity of encrypting all the files on the system.

    • Credentials from Password Stores: Windows Credential Manager

      Suspicious access to Credentials History.

    • Drops startup file

    • Executes dropped EXE

    • Loads dropped DLL

    • Reads user/profile data of web browsers

      Infostealers often target stored browser data, which can include saved credentials etc.

    • Adds Run key to start application

    • Enumerates connected drives

      Attempts to read the root path of hard drives other than the default C: drive.

    • Suspicious use of SetThreadContext

MITRE ATT&CK Enterprise v15

Tasks