Analysis
-
max time kernel
96s -
max time network
141s -
platform
windows10-2004_x64 -
resource
win10v2004-20241007-en -
resource tags
-
submitted
29-11-2024 14:46
General
-
Target
b1efeb888b13378829057569d3ef1ed3_JaffaCakes118.exe
-
Size
272KB
-
MD5
b1efeb888b13378829057569d3ef1ed3
-
SHA1
9247a09b94318c18e666702155b124120bb1a3de
-
SHA256
d90c84b7510f236b0060ad25252a4c4e87156801720af8165e5c10ffa91df1e7
-
SHA512
2f527faa27b22c772fedfce9c6795019edc080bc7b654362b38d45b65e8e6b9af07b5c1517d4ca674df4eb319bd4d19fc533cab9ad44a7aba56836ca3b6ff20a
-
SSDEEP
6144:W38Z/vq0GzjrUXrSauHHGY6+hdLelJNJ0AgDxBnKdo4YBe4XC4:ClPjrVaS6+hQTNE3nCo5pXC4
Score
10/10
Malware Config
Extracted
Path
C:\Users\Admin\AppData\Roaming\Microsoft\OneNote\16.0\_HELP_HELP_HELP_ZYO87G1.hta
Family
cerber
Ransom Note
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="utf-8">
<title>CERBER RANSOMWARE: Instructions</title>
<HTA:APPLICATION APPLICATIONNAME="Instructions" SCROLL="yes" SINGLEINSTANCE="yes" WINDOWSTATE="maximize">
<style>
a {
color: #04a;
text-decoration: none;
}
a:hover {
text-decoration: underline;
}
body {
background-color: #e7e7e7;
color: #222;
font-family: "Lucida Sans Unicode", "Lucida Grande", sans-serif;
font-size: 13pt;
line-height: 19pt;
}
body, h1 {
margin: 0;
padding: 0;
}
hr {
color: #bda;
height: 2pt;
margin: 1.5%;
}
h1 {
color: #555;
font-size: 14pt;
}
ol {
padding-left: 2.5%;
}
ol li {
padding-bottom: 13pt;
}
small {
color: #555;
font-size: 11pt;
}
ul {
list-style-type: none;
margin: 0;
padding: 0;
}
.button {
color: #04a;
cursor: pointer;
}
.button:hover {
text-decoration: underline;
}
.container {
background-color: #fff;
border: 2pt solid #c7c7c7;
margin: 5%;
min-width: 850px;
padding: 2.5%;
}
.header {
border-bottom: 2pt solid #c7c7c7;
margin-bottom: 2.5%;
padding-bottom: 2.5%;
}
.hr {
background: #bda;
display: block;
height: 2pt;
margin-top: 1.5%;
margin-bottom: 1.5%;
overflow: hidden;
width: 100%;
}
.info {
background-color: #efe;
border: 2pt solid #bda;
display: inline-block;
padding: 1.5%;
text-align: center;
}
.updating {
color: red;
display: none;
padding-left: 35px;
background: url('data:image/gif;base64,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') left no-repeat;
}
#change_language {
float: right;
}
#change_language, #texts div {
display: none;
}
</style>
</head>
<body>
<div class="container">
<div class="header">
<a id="change_language" href="#" onclick="return changeLanguage1();" title="English">☑ English</a>
<h1>CERBER RANSOMWARE</h1>
<small id="title">Instructions</small>
</div>
<div id="languages">
<p>☑ Select your language</p>
<ul>
<li><a href="#" title="English" onclick="return showBlock('en');">English</a></li>
<li><a href="#" title="Arabic" onclick="return showBlock('ar');">العربية</a></li>
<li><a href="#" title="Chinese" onclick="return showBlock('zh');">中文</a></li>
<li><a href="#" title="Dutch" onclick="return showBlock('nl');">Nederlands</a></li>
<li><a href="#" title="French" onclick="return showBlock('fr');">Français</a></li>
<li><a href="#" title="German" onclick="return showBlock('de');">Deutsch</a></li>
<li><a href="#" title="Italian" onclick="return showBlock('it');">Italiano</a></li>
<li><a href="#" title="Japanese" onclick="return showBlock('ja');">日本語</a></li>
<li><a href="#" title="Korean" onclick="return showBlock('ko');">한국어</a></li>
<li><a href="#" title="Polish" onclick="return showBlock('pl');">Polski</a></li>
<li><a href="#" title="Portuguese" onclick="return showBlock('pt');">Português</a></li>
<li><a href="#" title="Spanish" onclick="return showBlock('es');">Español</a></li>
<li><a href="#" title="Turkish" onclick="return showBlock('tr');">Türkçe</a></li>
</ul>
</div>
<div id="texts">
<div id="en">
<p>Can't you find the necessary files?<br>Is the content of your files not readable?</p>
<p>It is normal because the files' names and the data in your files have been encrypted by "Cerber Ransomware".</p>
<p>It means your files are NOT damaged! Your files are modified only. This modification is reversible.<br>From now it is not possible to use your files until they will be decrypted.</p>
<p>The only way to decrypt your files safely is to buy the special decryption software "Cerber Decryptor".</p>
<p>Any attempts to restore your files with the third-party software will be fatal for your files!</p>
<hr>
<p class="w331208">You can proceed with purchasing of the decryption software at your personal page:</p>
<p><span class="info"><span class="updating">Please wait...</span><a class="url" href="http://p27dokhpz2n7nvgr.1em2j4.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.1em2j4.top/5956-8344-A0AB-0091-C1E2</a><hr><a href="http://p27dokhpz2n7nvgr.1chy1m.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.1chy1m.top/5956-8344-A0AB-0091-C1E2</a><hr><a href="http://p27dokhpz2n7nvgr.1kja1j.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.1kja1j.top/5956-8344-A0AB-0091-C1E2</a><hr><a href="http://p27dokhpz2n7nvgr.1dlcbk.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.1dlcbk.top/5956-8344-A0AB-0091-C1E2</a><hr><a href="http://p27dokhpz2n7nvgr.15l2ub.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.15l2ub.top/5956-8344-A0AB-0091-C1E2</a></span></p>
<p>If this page cannot be opened <span class="button" onclick="return updateUrl('en');">click here</span> to get a new address of your personal page.<br><br>If the address of your personal page is the same as before after you tried to get a new one,<br>you can try to get a new address in one hour.</p>
<p>At this page you will receive the complete instructions how to buy the decryption software for restoring all your files.</p>
<p>Also at this page you will be able to restore any one file for free to be sure "Cerber Decryptor" will help you.</p>
<hr>
<p>If your personal page is not available for a long period there is another way to open your personal page - installation and use of Tor Browser:</p>
<ol>
<li>run your Internet browser (if you do not know what it is run the Internet Explorer);</li>
<li>enter or copy the address <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> into the address bar of your browser and press ENTER;</li>
<li>wait for the site loading;</li>
<li>on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;</li>
<li>run Tor Browser;</li>
<li>connect with the button "Connect" (if you use the English version);</li>
<li>a normal Internet browser window will be opened after the initialization;</li>
<li>type or copy the address <br><span class="info">http://p27dokhpz2n7nvgr.onion/5956-8344-A0AB-0091-C1E2</span><br> in this browser address bar;</li>
<li>press ENTER;</li>
<li>the site should be loaded; if for some reason the site is not loading wait for a moment and try again.</li>
</ol>
<p>If you have any problems during installation or use of Tor Browser, please, visit <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> and type request in the search bar "Install Tor Browser Windows" and you will find a lot of training videos about Tor Browser installation and use.</p>
<hr>
<p><strong>Additional information:</strong></p>
<p>You will find the instructions ("*HELP_HELP_HELP*.hta") for restoring your files in any folder with your encrypted files.</p>
<p>The instructions "*HELP_HELP_HELP*.hta" in the folders with your encrypted files are not viruses! The instructions "*HELP_HELP_HELP*.hta" will help you to decrypt your files.</p>
<p>Remember! The worst situation already happened and now the future of your files depends on your determination and speed of your actions.</p>
</div>
<div id="ar" style="direction: rtl;">
<p>لا يمكنك العثور على الملفات الضرورية؟<br>هل محتوى الملفات غير قابل للقراءة؟</p>
<p>هذا أمر طبيعي لأن أسماء الملفات والبيانات في الملفات قد تم تشفيرها بواسطة "Cerber Ransomware".</p>
<p>وهذا يعني أن الملفات الخاصة بك ليست تالفة! فقد تم تعديل ملفاتك فقط. ويمكن التراجع عن هذا.<br>ومن الآن فإنه لا يكن استخدام الملفات الخاصة بك حتى يتم فك تشفيرها.</p>
<p>الطريقة الوحيدة لفك تشفير ملفاتك بأمان هو أن تشتري برنامج فك التشفير المتخصص "Cerber Decryptor".</p>
<p>إن أية محاولات لاستعادة الملفات الخاصة بك بواسطة برامج من طرف ثالث سوف تكون مدمرة لملفاتك!</p>
<hr>
<p>يمكنك الشروع في شراء برنامج فك التشفير من صفحتك الشخصية:</p>
<p><span class="info"><span class="updating">أرجو الإنتظار...</span><a class="url" href="http://p27dokhpz2n7nvgr.1em2j4.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.1em2j4.top/5956-8344-A0AB-0091-C1E2</a><hr><a href="http://p27dokhpz2n7nvgr.1chy1m.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.1chy1m.top/5956-8344-A0AB-0091-C1E2</a><hr><a href="http://p27dokhpz2n7nvgr.1kja1j.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.1kja1j.top/5956-8344-A0AB-0091-C1E2</a><hr><a href="http://p27dokhpz2n7nvgr.1dlcbk.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.1dlcbk.top/5956-8344-A0AB-0091-C1E2</a><hr><a href="http://p27dokhpz2n7nvgr.15l2ub.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.15l2ub.top/5956-8344-A0AB-0091-C1E2</a></span></p>
<p>في حالة تعذر فتح هذه الصفحة <span class="button" onclick="return updateUrl('ar');">انقر هنا</span> لإنشاء عنوان جديد لصفحتك الشخصية.</p>
<p>في هذه الصفحة سوف تتلقى تعليمات كاملة حول كيفية شراء برنامج فك التشفير لاستعادة جميع الملفات الخاصة بك.</p>
<p>في هذه الصفحة أيضًا سوف تتمكن من استعادة ملف واحد بشكل مجاني للتأكد من أن "Cerber Decryptor" سوف يساعدك.</p>
<hr>
<p>إذا كانت صفحتك الشخصية غير متاحة لفترة طويلة فإن ثمّة طريقة أخرى لفتح صفحتك الشخصية - تحميل واستخدام متصفح Tor:</p>
<ol>
<li>قم بتشغيل متصفح الإنترنت الخاص بك (إذا كنت لا تعرف ما هو قم بتشغيل إنترنت إكسبلورر);</li>
<li>قم بكتابة أو نسخ العنوان <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> إلى شريط العنوان في المستعرض الخاص بك ثم اضغط ENTER;</li>
<li>انتظر لتحميل الموقع;</li>
<li>سوف يعرض عليك الموقع تحميل متصفح Tor. قم بتحميله وتشغيله، واتبع تعليمات التثبيت، وانتظر حتى اكتمال التثبيت;</li>
<li>قم بتشغيل متصفح Tor;</li>
<li>اضغط على الزر "Connect" (إذا كنت تستخدم النسخة الإنجليزية);</li>
<li>سوف تُفتح نافذة متصفح الإنترنت العادي بعد البدء;</li>
<li>قم بكتابة أو نسخ العنوان <br><span class="info">http://p27dokhpz2n7nvgr.onion/5956-8344-A0AB-0091-C1E2</span><br> في شريط العنوان في المتصفح;</li>
<li>اضغط ENTER;</li>
<li>يجب أن يتم تحميل الموقع؛ إذا لم يتم تحميل الموقع لأي سبب، انتظر للحظة وحاول مرة أخرى.</li>
</ol>
<p>إذا كان لديك أية مشكلات أثناء عملية التثبيت أو استخدام متصفح Tor، يُرجى زيارة <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> واكتب الطلب "install tor browser windows" أو "تثبيت نوافذ متصفح Tor" في شريط البحث، وسوف تجد الكثير من أشرطة الفيديو للتدريب حول تثبيت متصفح Tor واستخدامه.</p>
<hr>
<p><strong>معلومات إضافية:</strong></p>
<p>سوف تجد إرشادات استعادة الملفات الخاصة بك ("*README*") في أي مجلد مع ملفاتك المشفرة.</p>
<p>الإرشادات ("*README*") الموجودة في المجلدات مع ملفاتك المشفرة ليست فيروسات والإرشادات ("*README*") سوف تساعدك على فك تشفير الملفات الخاصة بك.</p>
<p>تذكر أن أسوأ موقف قد حدث بالفعل، والآن مستقبل ملفاتك يعتمد على عزيمتك وسرعة الإجراءات الخاصة بك.</p>
</div>
<div id="zh">
<p>您找不到所需的文件?<br>您文件的内容无法阅读?</p>
<p>这是正常的,因为您文件的文件名和数据已经被“Cerber Ransomware”加密了。</p>
<p>这意味着您的文件并没有损坏!您的文件只是被修改了,这个修改是可逆的,解密之前您无法使用您的文件。</p>
<p>安全解密您文件的唯一方式是购买特别的解密软件“Cerber Decryptor”。</p>
<p>任何使用第三方软件恢复您文件的方式对您的文件来说都将是致命的!</p>
<hr>
<p>您可以在您的个人页面上购买解密软件:</p>
<p><span class="info"><span class="updating">请稍候...</span><a class="url" href="http://p27dokhpz2n7nvgr.1em2j4.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.1em2j4.top/5956-8344-A0AB-0091-C1E2</a><hr><a href="http://p27dokhpz2n7nvgr.1chy1m.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.1chy1m.top/5956-8344-A0AB-0091-C1E2</a><hr><a href="http://p27dokhpz2n7nvgr.1kja1j.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.1kja1j.top/5956-8344-A0AB-0091-C1E2</a><hr><a href="http://p27dokhpz2n7nvgr.1dlcbk.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.1dlcbk.top/5956-8344-A0AB-0091-C1E2</a><hr><a href="http://p27dokhpz2n7nvgr.15l2ub.top/5956-8344-A0AB-0091-C1E2" target="_blank">http://p27dokhpz2n7nvgr.15l2ub.top/5956-8344-A0AB-0091-C1E2</a></span></p>
<p>如果这个页面无法打开,请 <span class="button" onclick="return updateUrl('zh');">点击这里</span> 生成您个人页面的新地址。</p>
<p>您将在这个页面上看到如何购买解密软件以恢复您的文件。</p>
<p>您可以在这个页面使用“Cerber Decryptor”免费恢复任何文件。</p>
<hr>
<p>如果您的个人页面长期不可用,有其他方法可以打开您的个人页面 - 安装并使用 Tor 浏览器:</p>
<ol>
<li>使用您的上网浏览器(如果您不知道使用 Internet Explorer 的话);</li>
<li>在浏览器的地址栏输入或复制地址 <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">h
Signatures
-
Cerber
Cerber is a widely used ransomware-as-a-service (RaaS), first seen in 2017.
-
Cerber family
-
Contacts a large (587) amount of remote hosts 1 TTPs
This may indicate a network scan to discover remotely running services.
-
Checks computer location settings 2 TTPs 1 IoCs
Looks up country code configured in the registry, likely geofence.
-
Drops startup file 1 IoCs
-
Sets desktop wallpaper using registry 2 TTPs 1 IoCs
-
Drops file in Program Files directory 20 IoCs
-
Drops file in Windows directory 1 IoCs
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
System Location Discovery: System Language Discovery 1 TTPs 2 IoCs
Attempt gather information about the system language of a victim in order to infer the geographical location of that host.
-
System Network Configuration Discovery: Internet Connection Discovery 1 TTPs 1 IoCs
Adversaries may check for Internet connectivity on compromised systems.
-
Kills process with taskkill 1 IoCs
-
Modifies registry class 1 IoCs
-
Runs ping.exe 1 TTPs 1 IoCs
-
Suspicious behavior: EnumeratesProcesses 2 IoCs
-
Suspicious use of AdjustPrivilegeToken 5 IoCs
-
Suspicious use of WriteProcessMemory 9 IoCs
Processes
-
C:\Users\Admin\AppData\Local\Temp\b1efeb888b13378829057569d3ef1ed3_JaffaCakes118.exe"C:\Users\Admin\AppData\Local\Temp\b1efeb888b13378829057569d3ef1ed3_JaffaCakes118.exe"1⤵
- Checks computer location settings
- Drops startup file
- Sets desktop wallpaper using registry
- Drops file in Program Files directory
- Drops file in Windows directory
- System Location Discovery: System Language Discovery
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\mshta.exe"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Admin\Desktop\_HELP_HELP_HELP_UVTU6Y.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}2⤵
- System Location Discovery: System Language Discovery
-
-
C:\Windows\system32\cmd.exe"C:\Windows\system32\cmd.exe"2⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\taskkill.exetaskkill /f /im "b1efeb888b13378829057569d3ef1ed3_JaffaCakes118.exe"3⤵
- Kills process with taskkill
- Suspicious use of AdjustPrivilegeToken
-
-
C:\Windows\system32\PING.EXEping -n 1 127.0.0.13⤵
- System Network Configuration Discovery: Internet Connection Discovery
- Runs ping.exe
-
-
-
C:\Windows\system32\AUDIODG.EXEC:\Windows\system32\AUDIODG.EXE 0x380 0x3241⤵
- Suspicious use of AdjustPrivilegeToken
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
151KB
MD5aa5e282bb1d4cd1bcf7e7cd03c26260b
SHA14442d4e7355a888d6889c23953912bfb6c4a0ec2
SHA256b21bdf9e7b9b52bb1dabfb295a66ae1dd622ab185c69fe05925fd7f7bfa08e24
SHA51276738d83d8198bb3950d591c457b07b8dcf44f1ca8d7856d2a9c6232adca2cadfb9114be84cb4c220eb7f49a1c2f310c68d4865d1447810f93363fae589ecbc4
-
Filesize
74KB
MD530c34d0c0ddce2b0c5ad20d7fd42f57a
SHA19921f14c7c61cbef374e22b9b133818979487482
SHA25608dc322812cbf8f7cd14fab8d43f25f19d48402a4c14bafa969e3436c5d380e3
SHA512d58e8d9280d52574d45b83706f4f2ca5d3d28fb7e86c0d5242541913b890b16fa184da220bb3830ed0408504eec2b7bd9e08f1616a5a607fa1f52c0d87052174
-
Filesize
4KB
-
Filesize
4KB
-
Filesize
284KB
-
Filesize
284KB
-
Filesize
284KB
-
Filesize
4KB
-
Filesize
284KB
-
Filesize
284KB
