Analysis
-
max time kernel
125s -
max time network
143s -
platform
windows10-2004_x64 -
resource
win10v2004-20250217-en -
resource tags
-
submitted
03/03/2025, 19:13
General
-
Target
NitroGen.exe
-
Size
335KB
-
MD5
dafb1f4e1689f2d2225d73bf26eb5da6
-
SHA1
17edf7a8771fb20d0e9543779915db2d189b42d6
-
SHA256
154acc8a3f62a30a3c89c175bac5121019f5c40f6eb2677a2bd29b59e38e623c
-
SHA512
4a1e71feb6946655d08139bfcd4314657e10ccecf8a23556d3b5e52eb1e534c7178f7f0de7c9d70e81e32129329f7062635f4bd053ab01a2e5838cd3c3c4a835
-
SSDEEP
6144:W5VP9Ge3+hoAvdeJBbLncZc6zyuyGG6RE74AsnAYLk/KTHNS:W5393whFOBbCzyc8rMjtS
Score
10/10
Malware Config
Extracted
Path
C:\Users\Admin\AppData\Local\Temp\NitroGen\NitroRansomware.exe
Ransom Note
MZ��������������������@��������������������������������������� ��� �!�L�!This program cannot be run in DOS mode.
$�������PE��L�������������"�
0������������r��� �������@�� ������������������������������`����������������������������
��O������ ����������������������
���p��8�������������������������������������������� ������������� ��H�����������.text���x��� �������������������� ��`.rsrc��� �������������������������@��@.reloc��
����������r�������������@��B����������������Q������H������K���G����&��0���@\�����������������������������������������0�������(��
+@�
~��o��
-+~��r��p(��
o ��~��o��
~��(��X
�i2�(��
+ �(��X �i2��~��o��
o"����*�������yy���0�������(��
+H�
(��,8~��r��p(��
o ��o��
~��o��
Yo��
~��(��X
�i2�(��
+ �(��X �i2��~��o��
o"����*�������������~��o��
,/o��
~��o��
Y~��o��
o��
~��(��
,**�0�[���� �H��
s
��
+
o
��
X
2�o
��
~��(��
s ��
( ��
o!��
s"��
���o#��
����o$��
o%��
P���s&��
o'��
[o(��
o)��
o*��
[o(��
o+��
o,��
�io-��
o.��
s/��
s ��
����H��+
o-��
�io0��
% 0�o1��
�J
~��
o��
o"���5~��r5��p(��
o ��~��X���o1��
o1��
(2��
�*�
������+�����@%5����0�S����( ��
o!��
�H��
s ��
�io0��
&s"��
���o#��
����o$��
P���s&��
o'��
[o(��
o)��
o*��
[o(��
o+��
o%��
o,��
o3��
s/��
s ��
����H��+
o-��
�io0��
%0��4 ~��rI��p o��
(��
o"���
~��
o��
o"�����o1��
~��r���p(��
o ���-
~��r���p
o��
(��
o"���o1��
o1��
�*�4������$�� ������$������
% ���=D����
(4��
*����r���ps
�����r���p���~1�����s5��
���*��0������(6��
%o7��
���`o8��
*�}��~0��s:��}
��(9��
(��*0�������s:��
}��{��#�����@�@o;��
{�����s<��
o=��
{��o>��
{
��r�po?��
~��o@��
+)�(A��
{
��%oB��
r�pr �p(C��
o?��
�(D��
-������oE��
�*������\�6������0���������(��9����{��~��o?��
{
��r%�po?��
{
��(F��
oG��
{��r�po?��
{��r�po?��
{ �� # ' *(H��
oI��
{��rO�po?��
{��oJ��
*���0�������{��oB��
~��(��
,\{
��r��po;��~�����{
��r��po?��
(K��
(L��
()��(M��
(L��
r��pr9�p @(N��
&(+��*r[�pr9�p (N��
&*"(O��
*"(O��
*Frs�pr��p(P��
&**Frs�pr��p(P��
&**"(O��
*0�������~0��s:��
{��oB��
~Q��
(R��
r��po��
9����r��po��
, r��poS��
XoT��
(R��
+r��poS��
XoT��
(#��,'r��po;��o;��r5�pr9�p @(N��
&*r[�po;��r��pr9�p (N��
&+
r[�po;��r��pr9�p (N��
&*R���sU��
(V��
&*z,{
��,
{
��oE��
(W��
*��0��� ��sX��
}
�����(Y��
sZ��
s[��
}
��s\��
}��s]��
}��s\��
}��s\��
}��s^��
}��s^��
}��s\��
}��s_��
}��s\��
}��s]��
}��s\��
}��s_��
}��s]��
}��s]��
}��s\��
}
��s\��
}
��s]��
}
��s^��
} ��s\��
} ��{
��s`��
}!��{
��sa��
}"��sb��
}#��sc��
}$��sb��
}%��{��od��
{ ��od��
{"��od��
(d��
{��oe��
{��r^�p"���Asf��
og��
{��(h��
oG��
{�� ! si��
oj��
{��sk��
ol��
{��r��pom��
{�� ��� .sn��
oo��
{��op��
{��r��po?��
{�� # ' *(H��
oI��
{��oq��
{��r��p"��Asf��
og��
{��(r��
oG��
{�� �� ����si��
oj��
{��ss��
ol��
{��ot��
{��r��pom��
{��ou��
{��ov��
{�� ��� ���sn��
oo��
{��op��
{��ow��
{��r
�pox��
o?��
{��oy��
{�����sz��
o{��
{��oe��
{��r��p"��dAsf��
og��
{��(|��
oG��
{�� ��� vsi��
oj��
{��sk��
ol��
{��r&�pom��
{�� 8 sn��
oo��
{��op��
{��r4�po?��
{�����sz��
o}��
{��oe��
{��r��p"��dAsf��
og��
{��(|��
oG��
{�� ���� vsi��
oj��
{��sk��
ol��
{��r>�pom��
{�� ���� sn��
oo��
{��
op��
{��rL�po?��
{�� # ' *(H��
oI��
{��(~��
oG��
{�� �si��
oj��
{��ss��
ol��
{��rj�pom��
{�� 4�� 'sn��
oo��
{��op��
{�� # ' *(H��
oI��
{��o��
{��o���
{��(~��
oG��
{�� tsi��
oj��
{��ss��
ol��
{��rx�pom��
{�� 1�� Rsn��
oo��
{��
op��
{��oe��
{��r��p"���Asf��
og��
{��(|��
oG��
{�� ���� E��si��
oj��
{��sk��
ol��
{��r��pom��
{�� ���� sn��
oo��
{�� op��
{��r��po?��
{��(���
oI��
{��o���
{�� ��� m��si��
oj��
{��ss��
ol��
{��r��pom��
{�� d
sn��
oo��
{��
op��
{��r��po?��
{��o���
{���
��sz��
o}��
{��oe��
{��r��p"���Asf��
og��
{��(|��
oG��
{�� ���� ���si��
oj��
{��sk��
ol��
{��r��pom��
{�� ���� sn��
oo��
{��
op��
{��r��po?��
{�� # ' *(H��
oI��
{��oq��
{��(���
oG��
{�� ^ ���si��
oj��
{��ss��
ol��
{��r,�pom��
{��ou��
{�� �� sn��
oo��
{��
op��
{��ow��
{��r>�po?��
{��oe��
{��r��p"�� Asf��
og��
{��(|��
oG��
{�� ��� T��si��
oj��
{��sk��
ol��
{��rz�pom��
{�� g sn��
oo��
{��
op��
{��r��po?��
{��(���
oI��
{��o���
{�� u�� ���si��
oj��
{��ss��
ol��
{��r��pom��
{�� d
sn��
oo��
{�� op��
{��r��po?��
{��o���
{���
��sz��
o}��
{�� # ' *(H��
oI��
{��oq��
{��(���
oG��
{�� ^ m��si��
oj��
{��ss��
ol��
{��r��pom��
{�� �� sn��
oo��
{��
op��
{��ow��
{��r��po?��
{�� # ' *(H��
oI��
{��oq��
{��(���
oG��
{�� U�� ���si��
oj��
{��ss��
ol��
{��r��pom��
{�� �� sn��
oo��
{�� op��
{��ow��
{��r �po?��
{
��oe��
{
��r��p"���Asf��
og��
{
��(|��
oG��
{
�� Q�� ���si��
oj��
{
��sk��
ol��
{
��r
�pom��
{
�� �� sn��
oo��
{
�� op��
{
��r �po?��
{
��oe��
{
��r��p"�� Asf��
og��
{
��(|��
oG��
{
�� ���� ���si��
oj��
{
��sk��
ol��
{
��rn �pom��
{
�� & sn��
oo��
{
�� op��
{
��r| �po?��
{
�� # ' *(H��
oI��
{
��oq��
{
��r��p"ff�@sf��
og��
{
��(r��
oG��
{
�� / ���si��
oj��
{
��ss��
ol��
{
��ot��
{
��r� �pom��
{
��ou��
{
��o���
{
�� ��� sn��
oo��
{
�� op��
{
��ow��
{ ��(���
oI��
{ ��o��
{ ��o���
{ �� / ����si��
oj��
{ ��ss��
ol��
{ ��r� �pom��
{ �� ��� ����sn��
oo��
{ �� op��
{ ��oe��
{ ��r^�p"��HBsf��
og��
{ ��(���
oG��
{ �� :si��
oj��
{ ��sk��
ol��
{ ��r� �pom��
{ �� p�� _sn��
oo��
{ �� op��
{ ��r� �po?��
{ �����sz��
o}��
{!��{"��o���
{!��r� �po���
ts��o���
{!��r9�po���
{!��o���
{!�����s���
o���
{"�� sn��
o���
{"��o���
�w��%{#���%{$���%{%���o���
{"��r� �pom��
{"�� ���� :sn��
oo��
{#��r� �po���
{#�� ���� sn��
o���
{#��r
�po���
{#���
��sz��
o���
{$��r,
�po���
{$�� ����
sn��
o���
{%��rT
�po���
{%�� ���� sn��
o���
{%��rT
�po���
{%�����sz��
o���
"���A"���As���
(���
(���
, / 3(H��
oI��
+�� ���sn��
(���
(���
(��
{ ��o���
(��
{
��o���
(��
{
��o���
(��
{��o���
(��
{
��o���
(��
{��o���
(��
{��o���
(��
{��o���
(��
{��o���
(��
{��o���
(��
{��o���
(��
{��o���
(��
{��o���
(��
{��o���
(��
{��o���
(��
{��o���
(��
{��o���
(���
oG��
(���
r^
�po���
ts��(���
ss��
(���
(���
rt
�p(m��
(���
(���
r�
�po?��
(���
�
��sz��
(���
{��o���
{��o���
{ ��o���
{ ��o���
{"��o���
(���
(���
*��0���������{
��/@ ;}
��{ ��- ;} ��{��,.{��Y}��+
{ ��Y} ��+{
��Y}
��{
��-{ ��-{��&{ ��r�
�p|��(���
0o���
| ��(���
0o���
|
��(���
0o���
(���
o?��
*���0�����
�� (���
(���
~&��r�
�p(��
o��
~&��r�
�p(��
o��
~&��r�
�p(��
o��
~&��r�
�p(��
o��
~&��r<
�p(��
o��
~&��r~
�p(��
o��
~&��r�
�p(��
o��
*0�<��
��(��s5��
~&��o@��
8��(A��
(���
9����r,
�p(��
s���
rZ
�po���
8�����o���
o���
rf
�p(���
o���
+ o���
t/��
o���
o��
o���
-�� u0��
,
oE��
�r�
�p(���
o���
+
o���
t/��
o���
o��
o���
-��
u0��
,
oE��
�X�i?:���(D��
:��������oE��
�*AL���������(���������������������(����������������������,���������
(4��
*.s5��
�&��*�(4��
(���
}'��r�
�p}(��})��}*��*��0�9��
��{*��3\{'��{(��(��
(���
r�
�p(���
r�
�p(���
(���
(��
o���
r
�po���
�����,oE��
�{*��-5r�
�p(���
r�
�p(���
(���
(��
(���
r
�p(���
*{'��{(��(��
(���
r�
�p(���
r�
�p(���
(���
(��
o���
r
�po���
�
,oE��
�r�
�p(���
r�
�p(���
(���
(��
(���
r
�p(���
*���
��� �;[�
�������<��
����~{)��r���p(��
,
r���p(
��*�{)��r���p(��
,
r
�p(
��*{)��r
�p(��
,
r
�p(
��*~{)��r
�p(���
,
r
�p(
��*6r
�p(
��*���0�P���
��s���
r,
�pr�
�p(���
~+��o ��o���
o���
o���
���.
�
�
,oE��
� *����>D�
����
(4��
*Fr���ps
���+��*��0�@�������(-��,
s ��(���
*(,��(*��('��((��(.�� p��(���
s ��(���
*0�(����(���
o���
(���
(���
r�
�p(���
&~2��r�po ��(��
r�p
o@��
+(A��
r
�p(���
(D��
-�����oE��
�(R��
(2��
(1��(3��~0��s:�� �G��%r&�p�% o���
�%r��p�% o���
�%r��p�%�%
r��p�%
�%
r��p�(���
o;��r��p~1��r��p(���
o;��r��pr��p(���
o;��*���D�$h�����0�������~3��r
�po;��~=��%-&~<���C��s���
%�=��s���
~>��%-&~<���D��s���
%�>��s���
~?��%-&~<���E��s���
%�?��s���
~@��%-&~<���F��s���
%�@��s���
o���
o���
o���
o���
o���
o���
o���
o���
~3��rN�p~��o���
�}��(���
o;��(7��*0�������~A��%-&~<���G��s���
%�A��s���
~B��%-&~<���H��s���
%�B��s���
~C��%-&~<���I��s���
%�C��s���
~D��%-&~<���J��s���
%�D��s���
o���
o���
o���
o���
o���
o���
o���
o���
*���0�������(���
o���
(���
(���
(���
o���
r��p(��
r��p(���
(R��
~���
r��po���
rW�pr]�pr]�p(���
o���
�
, oE��
��~2��o��
o"����*��
���O�
l�
��������xx���0�v�����(���
o���
(���
(���
ra�p(���
&ry�prW�p����(���
,=~���
r��po���
r�p(���
&r\�pr9�p(P��
&(���
�
,oE��
�*�����I�"k�
����0�R�����(���
o���
r��p(��
(���
(���
(���
(��
(���
(���
(R��
�
~2��o��
o ����*��������>>���Zr��prW�p(���
,**�0�5�����(���
r�p(��
(R��
s���
~1��o���
�
,oE��
�*������
�
*�
����
(4��
*0�b������� (���
�,��(���
�-�� '(���
�.��(���
�/��r#�p�0��r�p�1��r���ps
���2��~0��s:���3��*��0�T�����~Q��
rT�psK��
rd�poM��
����%
�o���
�
�
,oE��
��
~4�� o��
o"����*
����"3�
�������9?���0�,�����s5��
r��p(���
r��p(���
o��
o��
*0�U�����~Q��
s���
r��po���
o���
o���
o���
o���
�
,oE��
��~4��o��
o"����*���
���
�&2�
�������8>���
(4��
*Fr���ps
���4��*��0�D����� (���
r��p(��
�8��(@��~8��o���
~5��~8��~6��~7��`(6��&*
(4��
*R �5���6���7��*:(4��
}9��*0�j�����s���
%r
�po���
%r�pr,�po���
%rH�pr^�po���
s���
{9��s���
o���
o���
(���
&�
,oE��
��&��*��
���8�"Z�
������2�4f���
(4��
*0�-�����~:��- r��p�
��(Y��
o���
s���
�:��~:��*~;��*
�;��*0�
�����(=��r�p~;��o���
tC��*.sB���<��*
(4��
*.~-��(��*.~.��(��*.~,��(��*.~/��(��*.~-��(��*.~.��(��*.~,��(��*.~/��(��*0�������(4��
s���
}E��s���
}G��~Q��
}H��s���
o���
o���
o���
o���
o���
{E���N��s���
o���
{E��o���
{E��o���
&{E��o���
}F��{E��o���
*�{E��o���
{E��o���
{F��o���
{F��o���
*�~Q��
}H��{F��o���
{F��r
�po���
{G��o���
&{H��*��0�D�������o���
,o���
r.�p(��
,
{G��o���
&*{H��o���
(��
(���
}H��*BSJB������
���v4.0.30319�����l������#~�����d��#Strings����T+��8��#US��@�����#GUID����@�����#Blob���������W�
����3����������
���H���N���4�����������������������������������������������\ ������������������c
�oc
�Pc
��c
��c
��c
��c
����e��3c
�
��w
������
w
�
��
��.�����)
���
�
��
���&���
�t�
��
�
���
��
�
��
�
�
�
���
�e
�
�y�
�}��;w
G����
�6��&�M�
�J�J��������
���w
���'w
�(����J����� ���� �^���� �9�� ��x�����s�����V;�
F
�md
��
���
�0��I
w
�+ w
����b��
��~
��k��������/
���
��w��r���&
�
��^d
�A�
�r�
�o�
��
��
��
�
�-��|w
�\
w
��w
���
��w
�w
��d
��d
��d
��d
�
��� d
���
����4d
�3���w
W�
��
���
���
���
d
���
�z�
��
�
�W
��_d
�
�
�T�
���
��
��'w
�Gw
�$���������i��u
�����!��8�
�
���c
��
��:��
w
��w
�����d
��������i�����]�
�?� �)� ����9���������^�A��������e��������A�&�����
�A�'�
����X�A�+�#����F
�A�,�&�����A�4�1������A�5�6�����
�A�9�:����B�A�:�<�!����A�<�A������A�E�K���
��
��
�����
�����
��
���Y��p������������������������������������������������
��2����������������F��� ������W ��
��� ����
�����f��������s��B��
��Y��
��{�S�e�����
���
��6�.� � �Z� �- �� �'� �x� �K �� �I$�V)�9.���P ����������� �����������!����������!������V��t#������J3�%������� �%������� �H%�����y�� �o%������� ��%������: �T&������
:
��&������$
:
��'������S
:��'������<
:��'������G
:��'������>:��'������
:��'�������
:��'������d
B��'�������@
��(�������J
��(�������� ��(������S� �;������E�� ��;�������
� ��<�������R �$>������� �,>������� �8>������Z �h>������D�"��?�������
�$��?������S�%�+@������5
�&�K@������d�'�\@�������
�(��@�������)��@�������)��@�������
`)�0A��������*�tB�������
�*�|C�������
�*�PD������e�*�E������"�*��E��������*�
F������xf*�$F��������*�xF�������*��F�������*��F������f�*�lG������aR*��G��������*�$H�������*�,H�������*�������� j*�@H��������.��H�������.��H�������.��H�������.��H��������/�PI�������0�XI�����9r0��I������x0��I��
Signatures
-
Nitro
A ransomware that demands Discord nitro gift codes to decrypt files.
-
Nitro family
-
Renames multiple (105) files with added filename extension
This suggests ransomware activity of encrypting all the files on the system.
-
Disables Task Manager via registry modification
-
Checks computer location settings 2 TTPs 2 IoCs
Looks up country code configured in the registry, likely geofence.
-
Drops startup file 2 IoCs
-
Executes dropped EXE 1 IoCs
-
Reads user/profile data of web browsers 3 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
-
Adds Run key to start application 2 TTPs 1 IoCs
-
Drops desktop.ini file(s) 11 IoCs
-
Legitimate hosting services abused for malware hosting/C2 1 TTPs 6 IoCs
-
Looks up external IP address via web service 2 IoCs
Uses a legitimate IP lookup service to find the infected system's external IP.
-
Sets desktop wallpaper using registry 2 TTPs 1 IoCs
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
System Location Discovery: System Language Discovery 1 TTPs 6 IoCs
Attempt gather information about the system language of a victim in order to infer the geographical location of that host.
-
Runs .reg file with regedit 1 IoCs
-
Suspicious behavior: EnumeratesProcesses 2 IoCs
-
Suspicious use of AdjustPrivilegeToken 43 IoCs
-
Suspicious use of FindShellTrayWindow 1 IoCs
-
Suspicious use of SendNotifyMessage 1 IoCs
-
Suspicious use of WriteProcessMemory 15 IoCs
Processes
-
C:\Users\Admin\AppData\Local\Temp\NitroGen.exe"C:\Users\Admin\AppData\Local\Temp\NitroGen.exe"1⤵
- Checks computer location settings
- System Location Discovery: System Language Discovery
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\NitroGen\NitroRansomware.exe"C:\Users\Admin\AppData\Local\Temp\NitroGen\NitroRansomware.exe"2⤵
- Checks computer location settings
- Drops startup file
- Executes dropped EXE
- Adds Run key to start application
- Drops desktop.ini file(s)
- Sets desktop wallpaper using registry
- System Location Discovery: System Language Discovery
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\NitroGen\patch.bat" "3⤵
- System Location Discovery: System Language Discovery
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\regedit.exeregedit /s Patch.reg4⤵
- System Location Discovery: System Language Discovery
- Runs .reg file with regedit
-
-
-
C:\Windows\SysWOW64\cmd.exe"cmd.exe"3⤵
- System Location Discovery: System Language Discovery
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\Wbem\WMIC.exewmic csproduct get uuid4⤵
- System Location Discovery: System Language Discovery
- Suspicious use of AdjustPrivilegeToken
-
-
-
Network
MITRE ATT&CK Enterprise v15
Privilege Escalation
Boot or Logon Autostart Execution
1Registry Run Keys / Startup Folder
1Credential Access
Credentials from Password Stores
1Credentials from Web Browsers
1Unsecured Credentials
1Credentials In Files
1Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
285KB
MD584f3e8dc3f19e03950598b7005774ada
SHA1865be991b10c71182f56e30e24ca75a5ca111ec7
SHA256907b0951967bba240caa38494f1607e3e3acf3ff9557efd1d292a9bc12e199b9
SHA512723f3166380bfd9aee957998b8acf6f0f8f17ef8284184df606836e769c0f7c1aac6c1bd860b35c49b11145e905889d75917fd69def415c07425007f181713bf
-
Filesize
184B
MD5cc46a0995713ba7cb577b4bbbedf83e8
SHA16cc50a0e444e33f65d42423195ed045a3a55daf8
SHA2565fe1ad802f68d7c47dbbd8e60162ba88abaed162da5d381c85d3e4935311962e
SHA51236f5b3acbc520504cfe56e5fe19de2a22ae3d2ddddb4c0eb3e441f884033077fb411e69976c3e250c3ef01189d0e48016bde67a73a0dbc950dd5d8ec7783fd2a
-
Filesize
310B
MD5ea2cb363e38635a29fc698b78d59019d
SHA17b2fd924efcf1595e8fccae40b6137a7c63506d6
SHA2560af6a21526ab47e7d53dbab649602e64bb5f2dafa27d9cc200572e6dbe22a030
SHA5125a525f264a915062def515f58e20d0c539b0f9ccd5d40585e074e2e7ae37f0d8205d40db278f7cbd98d61d816dcc9450d4d7084483602eb5b7d9c9a8bfa5551e
-
Filesize
37B
MD50a026d1d64eb8576241e8c4cfa642dc1
SHA126ae22c596114300041c676e27393f2bc5c1bc6c
SHA2569a2c5d55b344f88a35839c62f2dd4a58b8d17a027892947f137f52ec13cba422
SHA512d9100a8e0cca6c85d24fbe7b064fda68cae88e45e31df2bc21cb4d0a6b3694a50011db0da3eb4f9288557d278eb1b6b824213d73611601f429dd8eafc2d48e96
-
Filesize
4KB
-
Filesize
304KB
-
Filesize
5.6MB
-
Filesize
584KB
-
Filesize
7.7MB
-
Filesize
4KB
-
Filesize
7.7MB
-
Filesize
40KB