EvilNominatus Ransomware IOC

ransomware IOC
Опубликовано

В рамках мониторинга используемых вредоносных файлов исследователи ClearSky обнаружили вредоносный BAT-файл, загруженный на VirusTotal из Ирана. Этот файл запускает программу-вымогатель, которую ассоциировали с программой-вымогатель EvilNominatus, первоначально обнародованной в конце 2021 года. Похоже, что разработчиком этой программы-вымогателя является молодой иранец, который похвастался о ее разработке в Twitter.

На данный момент у нас нет подробностей о жертвах этой программы.

Оригинальный BAT-файл, на котором основано исследование, был обнаружен только двумя антивирусными системами на VirusTotal. Другой BAT-файл, обнаруженный позже и имеющий общие характеристики с первым, не был обнаружен ни одним AV-движком. Другие файлы, которые были либо сгенерированы BAT-файлами, либо взаимодействовали с ними для осуществления атак, были обнаружены несколькими AV-движками. Таким образом, мы оцениваем общий уровень риска инструмента как низкий на данный момент.

Indicators of Compromise

Domain

  • i-love-evilnominatuscrypt.000webhostapp.com

URLs

  • https://i-love-evilnominatuscrypt.000webhostapp.com/GoogleAlert.vbs

MD5

  • 457e03c37389a53ea1e500c95d0efc30
  • 62547ed8969e6177217d638b211c1a30
  • 765d27aede93251a79d7685c7403a70b
  • 7cdf50ee4f3d0febc70dd36298ed07da
  • 7e055fbb0834b0484196a792576b47c0
  • 98831a06b42b18076efa52a9d03cf5a8
  • a70d0ad4d961dd013d3bbb5bc8e5802b
  • ad6da0b5ae310b28a44ca7c48fd88a5c
  • be39a6915bcd6f4e2b3eac8473243df1
  • e4aaf7cf90ed4370e06ec1f6a2b80d9a
  • ec0648563f5ead6aba26d59b741f8a73
  • fc70e3c1d3082cbcf48ac94700a84ac9

SHA1

  • 0170c2deae4486a43894c202ea92d43556218e1c
  • 08ca0bd79d92a8f89d8714b29b695c8cc53f90fc
  • 287e080b63fef822370bce236031620b8e421d14
  • 3c8d4a0d6590bc0e632cde0c93d9da09194e118a
  • 4d536dc808fced63adbc36adaf772554b64e49df
  • 66501d433c3e0fcab32da325ebc6e20192a2294b
  • 6895e15111ecb3976d95622588e2d775a0f48870
  • 7f30a37552fe7d82bbb149f0877ba2d2b7e4acb8
  • ac1da853f09d338053c2f4901f157cbcb6729bed
  • b2be8a2f8039404070636759e9e3d618b3a15f56
  • c8aa13fd4f9197a87bbb473ed298a800c4ca55a0
  • cc4ea1bab6496272566ebdc6823a7eb27a52a727

SHA256

  • 1d2a96013e4cc499cffab9000b9595e532a9feee425d3b4f536a5dc0695f381b
  • 1ee21714bde9bf89cc6c55d7dac5686ad0e85f231c2ba7f91d575cb6a1f8092e
  • 4e99e6b477daa5717a97f12a01ee8f2fa5aa8dce870982c7c45382c0e73aa1d1
  • 582152adf8ec9a1ea0e2b530e93fcfa2d36f2d384c6582c0478188a1bb67edab
  • 69811a6c9376b219b335a055cfa970d38cd768abeca7138a2c1905560d468fef
  • 698c0e688d902af933df2a9966005f24c607f37de140094fca3ddc16c5442b03
  • 9062660482465279de6eb783b5cfff8bb1f1bd804e0d8bf0876897b07407308b
  • 98a9c760bb94d4d081271a3087ace8bed47fc4c8a38cdfe3f42b92bcdbee68e7
  • b93247a0efbbb9852d056e8cb655fc76d802928bf23586077ef0d73ba710e514
  • e09b43312a6b1622428a3d8bab0270673701d7d7a73c667dc3ee8940da0b96a1
  • e21fe7117b2bca120dec9f0bd970a6355b143a3b62207b480f93d1e35b70c0e5
  • efc85a4100dae0d3fa69cff22149a3f735ee34bb43c79524f379c44ac5814751

Technical report

Похожие записи:

  1. LokiLocker Ransomware IOC
  2. Hive Ransomware IOC
  3. AvosLocker Ransomware IOC
  4. Conti Ransomware IOC
  5. PYSA Ransomware IOCs
ClearSky EvilNominatus Ransomware
Добавить комментарий