Analysis
-
max time kernel
148s -
max time network
151s -
platform
windows10-ltsc 2021_x64 -
resource
win10ltsc2021-20250217-en -
resource tags
-
submitted
05/03/2025, 22:35
General
-
Target
f540851ddbe177871c4b65f11a10bc1c047253d7de4bcda89918de821eac3b8b.exe
-
Size
353KB
-
MD5
c7810c3e5169e3128c02758a89cbe6e7
-
SHA1
802d1e1047e675f09289a6582c6cace69c073044
-
SHA256
28c0ab5797756ae956d45016496f8b51b60a77f514f5a0b2e8234c0836e760b8
-
SHA512
a5e1a442328bd536c311122620356bc750091db0bb3a04e8824b521e35fa3a00708245ab40aae74e0fd96136dd85ebd6f7ad0213496c49835a8c226a79d05b95
-
SSDEEP
6144:kvHLtLMCHg3FxbyypAlFy1BWfc3xhacB58A22LU1Z2B0lrTs4Hybar:kfLhMCHgVx2ypgFy1BWfyEL2vOTsCr
Score
10/10
Malware Config
Extracted
Path
C:\Users\Admin\AppData\Local\Microsoft\OneNote\16.0\cache\_HELP_HELP_HELP_A3309B_.hta
Family
cerber
Ransom Note
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="utf-8">
<title>CERBER RANSOMWARE: Instructions</title>
<HTA:APPLICATION APPLICATIONNAME="Instructions" SCROLL="yes" SINGLEINSTANCE="yes" WINDOWSTATE="maximize">
<style>
a {
color: #04a;
text-decoration: none;
}
a:hover {
text-decoration: underline;
}
body {
background-color: #e7e7e7;
color: #222;
font-family: "Lucida Sans Unicode", "Lucida Grande", sans-serif;
font-size: 13pt;
line-height: 19pt;
}
body, h1 {
margin: 0;
padding: 0;
}
hr {
color: #bda;
height: 2pt;
margin: 1.5%;
}
h1 {
color: #555;
font-size: 14pt;
}
ol {
padding-left: 2.5%;
}
ol li {
padding-bottom: 13pt;
}
small {
color: #555;
font-size: 11pt;
}
ul {
list-style-type: none;
margin: 0;
padding: 0;
}
.button {
color: #04a;
cursor: pointer;
}
.button:hover {
text-decoration: underline;
}
.container {
background-color: #fff;
border: 2pt solid #c7c7c7;
margin: 5%;
min-width: 850px;
padding: 2.5%;
}
.header {
border-bottom: 2pt solid #c7c7c7;
margin-bottom: 2.5%;
padding-bottom: 2.5%;
}
.hr {
background: #bda;
display: block;
height: 2pt;
margin-top: 1.5%;
margin-bottom: 1.5%;
overflow: hidden;
width: 100%;
}
.info {
background-color: #efe;
border: 2pt solid #bda;
display: inline-block;
padding: 1.5%;
text-align: center;
}
.updating {
color: red;
display: none;
padding-left: 35px;
background: url('data:image/gif;base64,R0lGODlhGQAZAKIEAMzMzJmZmTMzM2ZmZgAAAAAAAAAAAAAAACH/C05FVFNDQVBFMi4wAwEAAAAh+QQFAAAEACwAAAAAGQAZAAADVki63P4wSEiZvLXemRf4yhYoQ0l9aMiVLISCDms+L/DIwwnfc+c3qZ9g6Hn5hkhF7YgUKI2dpvNpExJ/WKquSoMCvd9geDeuBpcuGFrcQWep5Df7jU0AACH5BAUAAAQALAoAAQAOABQAAAMwSLDU/iu+Gdl0FbTAqeXg5YCdSJCBuZVqKw5wC8/qHJv2IN+uKvytn9AnFBCHx0cCACH5BAUAAAQALAoABAAOABQAAAMzSLoEzrC5F9Wk9YK6Jv8gEYzgaH4myaVBqYbfIINyHdcDI+wKniu7YG+2CPI4RgFI+EkAACH5BAUAAAQALAQACgAUAA4AAAMzSLrcBNDJBeuUNd6WwXbWtwnkFZwMqUpnu6il06IKLChDrsxBGufAHW0C1IlwxeMieEkAACH5BAUAAAQALAEACgAUAA4AAAM0SLLU/lAtFquctk6aIe5gGA1kBpwPqVZn66hl1KINPDRB3sxAGufAHc0C1IkIxcARZ4QkAAAh+QQFAAAEACwBAAQADgAUAAADMUhK0vurSfiko8oKHC//yyCCYvmVI4cOZAq+UCCDcv3VM4cHCuDHOZ/wI/xxigDQMAEAIfkEBQAABAAsAQABAA4AFAAAAzNIuizOkLgZ13xraHVF1puEKWBYlUP1pWrLBLALz+0cq3Yg324PAUAXcNgaBlVGgPAISQAAIfkEBQAABAAsAQABABQADgAAAzRIujzOMBJHpaXPksAVHoogMlzpZWK6lF2UjgobSK9AtjSs7QTg8xCfELgQ/og9I1IxXCYAADs=') left no-repeat;
}
#change_language {
float: right;
}
#change_language, #texts div {
display: none;
}
</style>
</head>
<body>
<div class="container">
<div class="header">
<a id="change_language" href="#" onclick="return changeLanguage1();" title="English">☑ English</a>
<h1>CERBER RANSOMWARE</h1>
<small id="title">Instructions</small>
</div>
<div id="languages">
<p>☑ Select your language</p>
<ul>
<li><a href="#" title="English" onclick="return showBlock('en');">English</a></li>
<li><a href="#" title="Arabic" onclick="return showBlock('ar');">العربية</a></li>
<li><a href="#" title="Chinese" onclick="return showBlock('zh');">中文</a></li>
<li><a href="#" title="Dutch" onclick="return showBlock('nl');">Nederlands</a></li>
<li><a href="#" title="French" onclick="return showBlock('fr');">Français</a></li>
<li><a href="#" title="German" onclick="return showBlock('de');">Deutsch</a></li>
<li><a href="#" title="Italian" onclick="return showBlock('it');">Italiano</a></li>
<li><a href="#" title="Japanese" onclick="return showBlock('ja');">日本語</a></li>
<li><a href="#" title="Korean" onclick="return showBlock('ko');">한국어</a></li>
<li><a href="#" title="Polish" onclick="return showBlock('pl');">Polski</a></li>
<li><a href="#" title="Portuguese" onclick="return showBlock('pt');">Português</a></li>
<li><a href="#" title="Spanish" onclick="return showBlock('es');">Español</a></li>
<li><a href="#" title="Turkish" onclick="return showBlock('tr');">Türkçe</a></li>
</ul>
</div>
<div id="texts">
<div id="en">
<p>Can't you find the necessary files?<br>Is the content of your files not readable?</p>
<p>It is normal because the files' names and the data in your files have been encrypted by "Cerber Ransomware".</p>
<p>It means your files are NOT damaged! Your files are modified only. This modification is reversible.<br>From now it is not possible to use your files until they will be decrypted.</p>
<p>The only way to decrypt your files safely is to buy the special decryption software "Cerber Decryptor".</p>
<p>Any attempts to restore your files with the third-party software will be fatal for your files!</p>
<hr>
<p class="w331208">You can proceed with purchasing of the decryption software at your personal page:</p>
<p><span class="info"><span class="updating">Please wait...</span><a class="url" href="http://p27dokhpz2n7nvgr.13gmvm.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.13gmvm.top/05C9-8A6B-BF70-0446-9F44</a><hr><a href="http://p27dokhpz2n7nvgr.1jw2lx.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.1jw2lx.top/05C9-8A6B-BF70-0446-9F44</a><hr><a href="http://p27dokhpz2n7nvgr.1plugt.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.1plugt.top/05C9-8A6B-BF70-0446-9F44</a><hr><a href="http://p27dokhpz2n7nvgr.1cpy1q.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.1cpy1q.top/05C9-8A6B-BF70-0446-9F44</a><hr><a href="http://p27dokhpz2n7nvgr.15nhsf.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.15nhsf.top/05C9-8A6B-BF70-0446-9F44</a></span></p>
<p>If this page cannot be opened <span class="button" onclick="return updateUrl('en');">click here</span> to get a new address of your personal page.<br><br>If the address of your personal page is the same as before after you tried to get a new one,<br>you can try to get a new address in one hour.</p>
<p>At this page you will receive the complete instructions how to buy the decryption software for restoring all your files.</p>
<p>Also at this page you will be able to restore any one file for free to be sure "Cerber Decryptor" will help you.</p>
<hr>
<p>If your personal page is not available for a long period there is another way to open your personal page - installation and use of Tor Browser:</p>
<ol>
<li>run your Internet browser (if you do not know what it is run the Internet Explorer);</li>
<li>enter or copy the address <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> into the address bar of your browser and press ENTER;</li>
<li>wait for the site loading;</li>
<li>on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;</li>
<li>run Tor Browser;</li>
<li>connect with the button "Connect" (if you use the English version);</li>
<li>a normal Internet browser window will be opened after the initialization;</li>
<li>type or copy the address <br><span class="info">http://p27dokhpz2n7nvgr.onion/05C9-8A6B-BF70-0446-9F44</span><br> in this browser address bar;</li>
<li>press ENTER;</li>
<li>the site should be loaded; if for some reason the site is not loading wait for a moment and try again.</li>
</ol>
<p>If you have any problems during installation or use of Tor Browser, please, visit <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> and type request in the search bar "Install Tor Browser Windows" and you will find a lot of training videos about Tor Browser installation and use.</p>
<hr>
<p><strong>Additional information:</strong></p>
<p>You will find the instructions ("*_HELP_HELP_HELP_*.hta") for restoring your files in any folder with your encrypted files.</p>
<p>The instructions "*_HELP_HELP_HELP_*.hta" in the folders with your encrypted files are not viruses! The instructions "*_HELP_HELP_HELP_*.hta" will help you to decrypt your files.</p>
<p>Remember! The worst situation already happened and now the future of your files depends on your determination and speed of your actions.</p>
</div>
<div id="ar" style="direction: rtl;">
<p>لا يمكنك العثور على الملفات الضرورية؟<br>هل محتوى الملفات غير قابل للقراءة؟</p>
<p>هذا أمر طبيعي لأن أسماء الملفات والبيانات في الملفات قد تم تشفيرها بواسطة "Cerber Ransomware".</p>
<p>وهذا يعني أن الملفات الخاصة بك ليست تالفة! فقد تم تعديل ملفاتك فقط. ويمكن التراجع عن هذا.<br>ومن الآن فإنه لا يكن استخدام الملفات الخاصة بك حتى يتم فك تشفيرها.</p>
<p>الطريقة الوحيدة لفك تشفير ملفاتك بأمان هو أن تشتري برنامج فك التشفير المتخصص "Cerber Decryptor".</p>
<p>إن أية محاولات لاستعادة الملفات الخاصة بك بواسطة برامج من طرف ثالث سوف تكون مدمرة لملفاتك!</p>
<hr>
<p>يمكنك الشروع في شراء برنامج فك التشفير من صفحتك الشخصية:</p>
<p><span class="info"><span class="updating">أرجو الإنتظار...</span><a class="url" href="http://p27dokhpz2n7nvgr.13gmvm.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.13gmvm.top/05C9-8A6B-BF70-0446-9F44</a><hr><a href="http://p27dokhpz2n7nvgr.1jw2lx.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.1jw2lx.top/05C9-8A6B-BF70-0446-9F44</a><hr><a href="http://p27dokhpz2n7nvgr.1plugt.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.1plugt.top/05C9-8A6B-BF70-0446-9F44</a><hr><a href="http://p27dokhpz2n7nvgr.1cpy1q.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.1cpy1q.top/05C9-8A6B-BF70-0446-9F44</a><hr><a href="http://p27dokhpz2n7nvgr.15nhsf.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.15nhsf.top/05C9-8A6B-BF70-0446-9F44</a></span></p>
<p>في حالة تعذر فتح هذه الصفحة <span class="button" onclick="return updateUrl('ar');">انقر هنا</span> لإنشاء عنوان جديد لصفحتك الشخصية.</p>
<p>في هذه الصفحة سوف تتلقى تعليمات كاملة حول كيفية شراء برنامج فك التشفير لاستعادة جميع الملفات الخاصة بك.</p>
<p>في هذه الصفحة أيضًا سوف تتمكن من استعادة ملف واحد بشكل مجاني للتأكد من أن "Cerber Decryptor" سوف يساعدك.</p>
<hr>
<p>إذا كانت صفحتك الشخصية غير متاحة لفترة طويلة فإن ثمّة طريقة أخرى لفتح صفحتك الشخصية - تحميل واستخدام متصفح Tor:</p>
<ol>
<li>قم بتشغيل متصفح الإنترنت الخاص بك (إذا كنت لا تعرف ما هو قم بتشغيل إنترنت إكسبلورر);</li>
<li>قم بكتابة أو نسخ العنوان <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> إلى شريط العنوان في المستعرض الخاص بك ثم اضغط ENTER;</li>
<li>انتظر لتحميل الموقع;</li>
<li>سوف يعرض عليك الموقع تحميل متصفح Tor. قم بتحميله وتشغيله، واتبع تعليمات التثبيت، وانتظر حتى اكتمال التثبيت;</li>
<li>قم بتشغيل متصفح Tor;</li>
<li>اضغط على الزر "Connect" (إذا كنت تستخدم النسخة الإنجليزية);</li>
<li>سوف تُفتح نافذة متصفح الإنترنت العادي بعد البدء;</li>
<li>قم بكتابة أو نسخ العنوان <br><span class="info">http://p27dokhpz2n7nvgr.onion/05C9-8A6B-BF70-0446-9F44</span><br> في شريط العنوان في المتصفح;</li>
<li>اضغط ENTER;</li>
<li>يجب أن يتم تحميل الموقع؛ إذا لم يتم تحميل الموقع لأي سبب، انتظر للحظة وحاول مرة أخرى.</li>
</ol>
<p>إذا كان لديك أية مشكلات أثناء عملية التثبيت أو استخدام متصفح Tor، يُرجى زيارة <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> واكتب الطلب "install tor browser windows" أو "تثبيت نوافذ متصفح Tor" في شريط البحث، وسوف تجد الكثير من أشرطة الفيديو للتدريب حول تثبيت متصفح Tor واستخدامه.</p>
<hr>
<p><strong>معلومات إضافية:</strong></p>
<p>سوف تجد إرشادات استعادة الملفات الخاصة بك ("*_HELP_HELP_HELP_*") في أي مجلد مع ملفاتك المشفرة.</p>
<p>الإرشادات ("*_HELP_HELP_HELP_*") الموجودة في المجلدات مع ملفاتك المشفرة ليست فيروسات والإرشادات ("*_HELP_HELP_HELP_*") سوف تساعدك على فك تشفير الملفات الخاصة بك.</p>
<p>تذكر أن أسوأ موقف قد حدث بالفعل، والآن مستقبل ملفاتك يعتمد على عزيمتك وسرعة الإجراءات الخاصة بك.</p>
</div>
<div id="zh">
<p>您找不到所需的文件?<br>您文件的内容无法阅读?</p>
<p>这是正常的,因为您文件的文件名和数据已经被“Cerber Ransomware”加密了。</p>
<p>这意味着您的文件并没有损坏!您的文件只是被修改了,这个修改是可逆的,解密之前您无法使用您的文件。</p>
<p>安全解密您文件的唯一方式是购买特别的解密软件“Cerber Decryptor”。</p>
<p>任何使用第三方软件恢复您文件的方式对您的文件来说都将是致命的!</p>
<hr>
<p>您可以在您的个人页面上购买解密软件:</p>
<p><span class="info"><span class="updating">请稍候...</span><a class="url" href="http://p27dokhpz2n7nvgr.13gmvm.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.13gmvm.top/05C9-8A6B-BF70-0446-9F44</a><hr><a href="http://p27dokhpz2n7nvgr.1jw2lx.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.1jw2lx.top/05C9-8A6B-BF70-0446-9F44</a><hr><a href="http://p27dokhpz2n7nvgr.1plugt.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.1plugt.top/05C9-8A6B-BF70-0446-9F44</a><hr><a href="http://p27dokhpz2n7nvgr.1cpy1q.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.1cpy1q.top/05C9-8A6B-BF70-0446-9F44</a><hr><a href="http://p27dokhpz2n7nvgr.15nhsf.top/05C9-8A6B-BF70-0446-9F44" target="_blank">http://p27dokhpz2n7nvgr.15nhsf.top/05C9-8A6B-BF70-0446-9F44</a></span></p>
<p>如果这个页面无法打开,请 <span class="button" onclick="return updateUrl('zh');">点击这里</span> 生成您个人页面的新地址。</p>
<p>您将在这个页面上看到如何购买解密软件以恢复您的文件。</p>
<p>您可以在这个页面使用“Cerber Decryptor”免费恢复任何文件。</p>
<hr>
<p>如果您的个人页面长期不可用,有其他方法可以打开您的个人页面 - 安装并使用 Tor 浏览器:</p>
<ol>
<li>使用您的上网浏览器(如果您不知道使用 Internet Explorer 的话);</li>
<li>在浏览器的地址栏输入或复制地址 <a href="https://www.torproject.org/dow
Signatures
-
Cerber
Cerber is a widely used ransomware-as-a-service (RaaS), first seen in 2017.
-
Cerber family
-
Contacts a large (1100) amount of remote hosts 1 TTPs
This may indicate a network scan to discover remotely running services.
-
Checks computer location settings 2 TTPs 1 IoCs
Looks up country code configured in the registry, likely geofence.
-
Drops startup file 1 IoCs
-
Drops file in System32 directory 44 IoCs
-
Sets desktop wallpaper using registry 2 TTPs 1 IoCs
-
Suspicious use of SetThreadContext 1 IoCs
-
Drops file in Program Files directory 20 IoCs
-
Drops file in Windows directory 64 IoCs
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
System Location Discovery: System Language Discovery 1 TTPs 3 IoCs
Attempt gather information about the system language of a victim in order to infer the geographical location of that host.
-
System Network Configuration Discovery: Internet Connection Discovery 1 TTPs 1 IoCs
Adversaries may check for Internet connectivity on compromised systems.
-
Kills process with taskkill 1 IoCs
-
Modifies registry class 1 IoCs
-
Runs ping.exe 1 TTPs 1 IoCs
-
Suspicious behavior: EnumeratesProcesses 2 IoCs
-
Suspicious use of AdjustPrivilegeToken 5 IoCs
-
Suspicious use of WriteProcessMemory 21 IoCs
Processes
-
C:\Users\Admin\AppData\Local\Temp\f540851ddbe177871c4b65f11a10bc1c047253d7de4bcda89918de821eac3b8b.exe"C:\Users\Admin\AppData\Local\Temp\f540851ddbe177871c4b65f11a10bc1c047253d7de4bcda89918de821eac3b8b.exe"1⤵
- Suspicious use of SetThreadContext
- System Location Discovery: System Language Discovery
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\f540851ddbe177871c4b65f11a10bc1c047253d7de4bcda89918de821eac3b8b.exe"C:\Users\Admin\AppData\Local\Temp\f540851ddbe177871c4b65f11a10bc1c047253d7de4bcda89918de821eac3b8b.exe"2⤵
-
-
C:\Users\Admin\AppData\Local\Temp\f540851ddbe177871c4b65f11a10bc1c047253d7de4bcda89918de821eac3b8b.exe"C:\Users\Admin\AppData\Local\Temp\f540851ddbe177871c4b65f11a10bc1c047253d7de4bcda89918de821eac3b8b.exe"2⤵
- Checks computer location settings
- Drops startup file
- Drops file in System32 directory
- Sets desktop wallpaper using registry
- Drops file in Program Files directory
- Drops file in Windows directory
- System Location Discovery: System Language Discovery
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\mshta.exe"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Admin\Desktop\_HELP_HELP_HELP_IL95_.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}3⤵
- System Location Discovery: System Language Discovery
-
-
C:\Windows\system32\cmd.exe"C:\Windows\system32\cmd.exe"3⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\taskkill.exetaskkill /f /im "f540851ddbe177871c4b65f11a10bc1c047253d7de4bcda89918de821eac3b8b.exe"4⤵
- Kills process with taskkill
- Suspicious use of AdjustPrivilegeToken
-
-
C:\Windows\system32\PING.EXEping -n 1 127.0.0.14⤵
- System Network Configuration Discovery: Internet Connection Discovery
- Runs ping.exe
-
-
-
-
C:\Windows\system32\AUDIODG.EXEC:\Windows\system32\AUDIODG.EXE 0x4f0 0x4e81⤵
- Suspicious use of AdjustPrivilegeToken
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
74KB
MD5ecde1005de899f6b3935ff67da411355
SHA1599a38cf632deff897fe90a8c8091c71461845c8
SHA256f233d8f34966a90ec0abd9d30df7fdabe547e489a2b561cc3532fb2aa307b549
SHA5125d3e72f66b847dd313d936618e2f3dd5ba01cb8940a62d8b265fd873a44366884b3d882585a5ee836ebce4633f76a5b634fc148ffe0802187ea45c1f16aca998
-
Filesize
425KB
MD5489f851c7dc77c8e1c023980261e39ae
SHA1a39110b7cc19cc0bdd8367a71e367d8d94a27d4f
SHA2562f170f77389afd641623d0c12b2e72253c942aa942d9a6f9ac6715fd95b10e09
SHA5123f6a2576cd568a1d8e579dcb5ca4d2e336f3943b0e6bdd16cdd8fbce2889250610afd4fa680e10edac6bff391cbababc71d86389411003d6c9323e5703e63d66
-
Filesize
224KB
-
Filesize
224KB
-
Filesize
224KB
-
Filesize
224KB
-
Filesize
224KB
-
Filesize
224KB
-
Filesize
224KB
-
Filesize
224KB
-
Filesize
224KB
-
Filesize
224KB
-
Filesize
224KB
