ID: 450141 Sample Name: vnMQDhyZya.bin Cookbook: default.jbs Time: 00:31:14 Date: 17/07/2021 Version: 33.0.0 White Diamond Table of Contents Table of Contents 2 Windows Analysis Report vnMQDhyZya.bin 3 Overview 3 General Information 3 Detection 3 Signatures 3 Classification 3 Process Tree 3 Malware Configuration 3 Threatname: CryLock 3 Yara Overview 5 Dropped Files 6 Memory Dumps 6 Sigma Overview 6 Jbx Signature Overview 6 AV Detection: 6 Spam, unwanted Advertisements and Ransom Demands: 6 Hooking and other Techniques for Hiding and Protection: 6 Malware Analysis System Evasion: 6 Mitre Att&ck Matrix 7 Behavior Graph 7 Screenshots 8 Thumbnails 8 Antivirus, Machine Learning and Genetic Malware Detection 8 Initial Sample 8 Dropped Files 9 Unpacked PE Files 9 Domains 9 URLs 9 Domains and IPs 9 Contacted Domains 9 Contacted IPs 9 General Information 9 Simulations 10 Behavior and APIs 10 Joe Sandbox View / Context 10 IPs 10 Domains 10 ASN 10 JA3 Fingerprints 10 Dropped Files 10 Created / dropped Files 10 Static File Info 11 General 11 File Icon 11 Static PE Info 11 General 11 Entrypoint Preview 11 Data Directories 12 Sections 12 Resources 12 Imports 12 Possible Origin 12 Network Behavior 12 Code Manipulations 12 Statistics 12 System Behavior 12 Analysis Process: vnMQDhyZya.exe PID: 4580 Parent PID: 5692 12 General 12 File Activities 13 File Created 13 File Written 13 Disassembly 13 Code Analysis 13 Copyright Joe Security LLC 2021 Page 2 of 13 Windows Analysis Report vnMQDhyZya.bin Overview General Information Detection Signatures Classification Sample vnMQDhyZya.bin Name: (renamed file extension AAnntttiiivviiirrruuss /// SSccaannnneerrr ddeettteecctttiiioonn fffoorrr ssuubb… from bin to exe) FAFonoutuinvndidr u ms aa/ lllwSwcaaarrrene n cceoornn dfffiiigegutuerrrcaattttiiioionn for sub Analysis ID: 450141 FFoouunndd rrmraananslswooamre nn cooottteen f///i g rrreuearaaddtmioene MD5: 23755a33694adc… Ransomware Found ransom note / readme IIFIccoounnn md iiirssamnasatottccmhh,, , n bboiiintneaa rr/ry yr eiiinnaccdlllumuddeeess aann iiicc… Miner Spreading SHA1: 33a68ea32f34ab6… MIcuoulnltti i m AAViVs m SSaccatacnnhnn, eebrri n ddaeerttyee cicntticioolnun d ffoeorsr ssauunbb mic mmaallliiiccciiioouusss Multi AV Scanner detection for subm… malicious SHA256: e001f6a5b2d4d26… Muullttii AAVV SSccaannnneerr ddeetteeccttiioonn ffoorr ssuubbm… Evader Phishing sssuusssppiiiccciiioouusss suspicious Tags: crylock exe ransomware YMYaaurrrlatai dAdeeVttte eScccttteaednd n CCerrrryy LdLoeoctcekkc rtrraiaonnss ofoomr wswuaabrrreme cccllleeaann clean Infos: CYCoaonrnattta adiiinenstse fffcuutnencdcttt iiiCoonrnyaaLllliiiotttyyc ktttoo r addneesttteeoccmttt wsslllaeereee… Exploiter Banker Most interesting Screenshot: DCDeoellnleetttateeisns s ss hfhuaanddcootwiwo n ddarrriilivivteye dtdoaa tdttaae (t((emcaat yys lbebee … Spyware Trojan / Bot CryLock CDCoeonlnetttataeiiinsns ss fhffuuanndccotttiiwioon ndaarlliliivitttyey ffdfooarrr t rraree a(amdd a ddyaa tbttaae f ff… Adware Score: 96 CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy ttftoo r c craaellllall ndna adtttiiaivvteea fff… Range: 0 - 100 CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo cchahelel ccnkka itiiffif v aae w wf… Whitelisted: false CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo dcdehetetteeccckttt issf aann wdd… Confidence: 100% CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo ddyeyntneaacmt iisiccaaanlllllldyy… CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo edenynunumameerirrcaaatttelel y … Process Tree CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo qequnueuerrmryy e llloroacctaaellle e… CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo rrqreeuaaeddr y ttth hloeec ccalllilii…e System is w10x64 CCoonntttaaiiinnss fffuunncctttiiioonnaallliiitttyy tttoo rrreettatrrridiiee vtvheee ii inncfflfoio… vnMQDhyZya.exe (PID: 4580 cmdline: 'C:\Users\user\Desktop\vnMQDhyZya.