From 268d19496051c0e99468176737f20cfa19b16e2d Mon Sep 17 00:00:00 2001 From: Threat Analyst Date: Wed, 1 Jun 2022 10:00:01 +0200 Subject: [PATCH] Added new YARA rules. --- yara/ransomware/Win32.Ransomware.NB65.yara | 68 +++++++++++++ yara/ransomware/Win64.Ransomware.Pandora.yara | 95 +++++++++++++++++++ 2 files changed, 163 insertions(+) create mode 100644 yara/ransomware/Win32.Ransomware.NB65.yara create mode 100644 yara/ransomware/Win64.Ransomware.Pandora.yara diff --git a/yara/ransomware/Win32.Ransomware.NB65.yara b/yara/ransomware/Win32.Ransomware.NB65.yara new file mode 100644 index 0000000..aab2788 --- /dev/null +++ b/yara/ransomware/Win32.Ransomware.NB65.yara @@ -0,0 +1,68 @@ +rule Win32_Ransomware_NB65 : tc_detection malicious +{ + meta: + + author = "ReversingLabs" + + source = "ReversingLabs" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "MALWARE" + malware = "NB65" + description = "Yara rule that detects NB65 ransomware." + + tc_detection_type = "Ransomware" + tc_detection_name = "NB65" + tc_detection_factor = 5 + + strings: + + $encrypt_files = { + E8 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? + C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? + C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? + C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? + C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8A 45 ?? 80 7D ?? ?? 75 ?? 33 C9 90 8A 44 0D ?? + 0F B6 C0 83 E8 ?? 6B C0 ?? 99 F7 FB 8D 42 ?? 99 F7 FB 88 54 0D ?? 41 83 F9 ?? 72 ?? + 8D 45 ?? 89 45 ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 50 + ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D0 + 85 C0 75 ?? 33 F6 66 90 A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? + 8D 50 ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? FF B4 B5 ?? ?? ?? + ?? 57 FF D0 85 C0 75 ?? 46 83 FE ?? 7C ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 + } + + $find_files = { + 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 + 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? + 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? + 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? + ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? + 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? + 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 + } + + $enum_procs = { + 33 C9 66 90 8A 84 0D ?? ?? ?? ?? 0F B6 C0 83 E8 ?? 8D 04 C0 99 F7 BD ?? ?? ?? ?? 8D + 42 ?? 99 F7 BD ?? ?? ?? ?? 88 94 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? A1 ?? ?? ?? ?? 8B + 40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41 + ?? 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? 51 FF D0 85 C0 75 ?? 6A ?? E8 ?? ?? ?? ?? + 83 C4 ?? 85 C0 74 ?? C7 00 ?? ?? ?? ?? 8D 50 ?? 8B 8D ?? ?? ?? ?? 89 08 C7 02 ?? ?? + ?? ?? 8B 4E ?? 89 48 ?? 8B 4E ?? 89 01 89 56 ?? 8D 85 ?? ?? ?? ?? 50 57 FF D3 85 C0 + 0F 85 ?? ?? ?? ?? 5B A1 ?? ?? ?? ?? 8B 40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9 + E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41 ?? 57 FF D0 8B 4D ?? 5F 33 CD 5E E8 ?? ?? ?? + ?? 8B E5 5D C3 + } + + condition: + uint16(0) == 0x5A4D and + ( + $find_files + ) and + ( + $enum_procs + ) and + ( + $encrypt_files + ) +} \ No newline at end of file diff --git a/yara/ransomware/Win64.Ransomware.Pandora.yara b/yara/ransomware/Win64.Ransomware.Pandora.yara new file mode 100644 index 0000000..6fad093 --- /dev/null +++ b/yara/ransomware/Win64.Ransomware.Pandora.yara @@ -0,0 +1,95 @@ +rule Win64_Ransomware_Pandora : tc_detection malicious +{ + meta: + + author = "ReversingLabs" + + source = "ReversingLabs" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "MALWARE" + malware = "PANDORA" + description = "Yara rule that detects Pandora ransomware." + + tc_detection_type = "Ransomware" + tc_detection_name = "Pandora" + tc_detection_factor = 5 + + strings: + + $find_files_p1 = { + 41 57 41 56 41 55 41 54 56 57 55 53 48 83 EC ?? 48 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? + ?? 45 31 F6 41 BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? + ?? 48 89 4C 24 ?? 45 31 C0 41 81 FA ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F + 4C CA 41 0F 94 C0 48 8B 8C 08 ?? ?? ?? ?? 48 01 F1 31 D2 31 DB 41 81 FA ?? ?? ?? ?? + 0F 9C C2 0F 95 C3 41 BD ?? ?? ?? ?? 49 29 D5 41 81 FA ?? ?? ?? ?? BF ?? ?? ?? ?? BA + ?? ?? ?? ?? 48 0F 4C FA 4C 8D 4C 9B ?? 41 BB ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 0F 44 DA + 49 83 C8 ?? 31 DB 31 D2 41 81 FA ?? ?? ?? ?? 0F 9C C3 4C 8D 64 1B ?? 0F 94 C2 48 83 + F2 ?? 31 DB 41 81 FA ?? ?? ?? ?? 0F 94 C3 48 8D 1C DB 48 83 C3 ?? EB ?? 0F 1F 40 ?? + 4A 8B AC C0 ?? ?? ?? ?? 48 01 F5 FF E5 FF E1 4A 8B AC E0 ?? ?? ?? ?? 48 01 F5 FF E5 + 48 8B AC D8 ?? ?? ?? ?? 48 01 F5 FF E5 0F 1F 80 ?? ?? ?? ?? 48 8B AC F8 ?? ?? ?? ?? + 48 01 F5 FF E5 4A 8B AC E8 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC D8 ?? ?? ?? ?? 48 01 + } + + $find_files_p2 = { + F5 FF E5 66 0F 1F 84 00 ?? ?? 00 00 48 8B AC D0 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC + C8 ?? ?? ?? ?? 48 01 F5 FF E5 44 89 74 24 ?? 48 63 4C 24 ?? 48 8B 54 24 ?? 48 8B 8C + CA ?? ?? ?? ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 8B 54 24 ?? BD ?? ?? ?? ?? 01 EA 44 8B + 54 24 ?? BD ?? ?? ?? ?? 41 01 EA 66 83 39 ?? 44 0F 45 D2 E9 ?? ?? ?? ?? 45 31 FF EB + ?? 66 2E 0F 1F 84 00 ?? ?? 00 00 90 41 BF ?? ?? ?? ?? 44 8B 54 24 ?? 41 81 C2 ?? ?? + ?? ?? E9 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 44 8B 74 24 ?? 41 83 C6 ?? 48 8B 54 + 24 ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 01 C8 48 8B 4C 24 + ?? FF D0 8B 4C 24 ?? BA ?? ?? ?? ?? 01 D1 44 8B 54 24 ?? BA ?? ?? ?? ?? 41 01 D2 85 + C0 44 0F 44 D1 E9 ?? ?? ?? ?? 44 89 F8 48 83 C4 ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41 + 5F C3 + } + + $generate_key = { + 41 57 41 56 41 55 41 54 56 57 55 53 48 81 EC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 + 8D B4 24 ?? ?? ?? ?? 48 89 74 24 ?? 48 8B 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 C7 C5 ?? + ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 41 BC ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 4C 01 + E1 BA ?? ?? ?? ?? 48 03 15 ?? ?? ?? ?? FF D0 48 8B 05 ?? ?? ?? ?? 48 8B 4C 24 ?? 0F + B7 90 ?? ?? ?? ?? 66 89 51 ?? 48 8B 80 ?? ?? ?? ?? 48 89 01 48 8B 05 ?? ?? ?? ?? 48 + 8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ?? ?? + 48 8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ?? + ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 48 89 F1 FF D0 48 98 4C 8B 05 ?? ?? ?? ?? 4D 01 E0 + 48 8B 0D ?? ?? ?? ?? 48 8B 99 ?? ?? ?? ?? 48 01 EB 48 8B 0D ?? ?? ?? ?? 4C 01 E1 48 + 89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 49 89 F1 FF D3 89 84 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? + 45 31 ED 41 BE ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? + BA ?? ?? ?? ?? BF ?? ?? ?? ?? 48 0F 44 D7 48 8B 04 10 4C 01 F0 FF E0 + } + + $drop_ransom_note = { + 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? BD ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? + ?? BE ?? ?? ?? ?? 48 01 F1 48 8B 15 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 01 FA FF D0 48 8B + 0D ?? ?? ?? ?? 48 01 F1 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 01 EA FF D2 48 + 8B 15 ?? ?? ?? ?? 48 01 F2 48 8B 8C 24 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8B B6 ?? + ?? ?? ?? 48 01 EE 48 C7 44 24 ?? ?? ?? ?? ?? 41 89 C0 4C 8D 4C 24 ?? FF D6 BE ?? ?? + ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 41 BE ?? ?? + ?? ?? 48 01 EA FF D2 BF ?? ?? ?? ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ?? + 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF + E0 8B 44 24 ?? 83 C0 ?? 89 44 24 ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ?? + 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF + E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? + BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 + C1 C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? + ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 48 8B 05 ?? ?? ?? ?? 48 8B 88 ?? ?? ?? + ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 4C 01 F0 C7 44 24 ?? ?? ?? ?? ?? 48 8D + 54 24 ?? 4C 8D 84 24 ?? ?? ?? ?? 4C 8D 4C 24 ?? FF D0 BF ?? ?? ?? ?? 8B 54 24 ?? B9 + ?? ?? ?? ?? 01 CA 8B 4C 24 ?? BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? + 48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 31 C0 48 81 + C4 ?? ?? ?? ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41 5F C3 + } + + condition: + uint16(0) == 0x5A4D and + ( + all of ($find_files_p*) + ) and + ( + $generate_key + ) and + ( + $drop_ransom_note + ) +} \ No newline at end of file