Actor(s): TeleBots, Sandworm
There is no description at this point.
rule win_eternal_petya_auto { meta: author = "Felix Bilstein - yara-signator at cocacoding dot com" date = "2020-08-17" version = "1" description = "autogenerated rule brought to you by yara-signator" tool = "yara-signator v0.4.0" tool_config = "callsandjumps;datarefs;binvalue" malpedia_reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eternal_petya" malpedia_rule_date = "20200817" malpedia_hash = "8c895fd01eccb47a6225bcb1a3ba53cbb98644c5" malpedia_version = "20200817" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" /* DISCLAIMER * The strings used in this rule have been automatically selected from the * disassembly of memory dumps and unpacked files, using yara-signator. * The code and documentation / approach is published here: * https://github.com/fxb-cocacoding/yara-signator * As Malpedia is used as data source, please note that for a given * number of families, only single samples are documented. * This likely impacts the degree of generalization these rules will offer. * Take the described generation method also into consideration when you * apply the rules in your use cases and assign them confidence levels. */ strings: $sequence_0 = { 68f0000000 6a40 ff15???????? 8bd8 } // n = 4, score = 400 // 68f0000000 | push 0xf0 // 6a40 | push 0x40 // ff15???????? | // 8bd8 | mov ebx, eax $sequence_1 = { 53 6a21 8d460c 50 } // n = 4, score = 400 // 53 | push ebx // 6a21 | push 0x21 // 8d460c | lea eax, [esi + 0xc] // 50 | push eax $sequence_2 = { 55 8bec 51 57 68000000f0 } // n = 5, score = 400 // 55 | push ebp // 8bec | mov ebp, esp // 51 | push ecx // 57 | push edi // 68000000f0 | push 0xf0000000 $sequence_3 = { 57 68000000f0 6a18 33ff } // n = 4, score = 400 // 57 | push edi // 68000000f0 | push 0xf0000000 // 6a18 | push 0x18 // 33ff | xor edi, edi $sequence_4 = { 53 8d4644 50 53 } // n = 4, score = 400 // 53 | push ebx // 8d4644 | lea eax, [esi + 0x44] // 50 | push eax // 53 | push ebx $sequence_5 = { 40 49 75f9 56 ff15???????? } // n = 5, score = 400 // 40 | inc eax // 49 | dec ecx // 75f9 | jne 0xfffffffb // 56 | push esi // ff15???????? | $sequence_6 = { 4f ebe1 83ff20 0f82f8010000 8bc7 c1e805 894508 } // n = 7, score = 300 // 4f | dec edi // ebe1 | jmp 0xffffffe3 // 83ff20 | cmp edi, 0x20 // 0f82f8010000 | jb 0x1fe // 8bc7 | mov eax, edi // c1e805 | shr eax, 5 // 894508 | mov dword ptr [ebp + 8], eax $sequence_7 = { ff75d8 895e0c 8b5ddc 894610 8b45f8 } // n = 5, score = 300 // ff75d8 | push dword ptr [ebp - 0x28] // 895e0c | mov dword ptr [esi + 0xc], ebx // 8b5ddc | mov ebx, dword ptr [ebp - 0x24] // 894610 | mov dword ptr [esi + 0x10], eax // 8b45f8 | mov eax, dword ptr [ebp - 8] $sequence_8 = { 8d8594f9ffff 50 ff15???????? 85c0 746f 68???????? 8d8594f9ffff } // n = 7, score = 300 // 8d8594f9ffff | lea eax, [ebp - 0x66c] // 50 | push eax // ff15???????? | // 85c0 | test eax, eax // 746f | je 0x71 // 68???????? | // 8d8594f9ffff | lea eax, [ebp - 0x66c] $sequence_9 = { 56 8d45f8 50 ff75f0 ff15???????? 3bc3 } // n = 6, score = 300 // 56 | push esi // 8d45f8 | lea eax, [ebp - 8] // 50 | push eax // ff75f0 | push dword ptr [ebp - 0x10] // ff15???????? | // 3bc3 | cmp eax, ebx $sequence_10 = { 8b3d???????? 6a08 6a08 ffd7 50 ff15???????? } // n = 6, score = 300 // 8b3d???????? | // 6a08 | push 8 // 6a08 | push 8 // ffd7 | call edi // 50 | push eax // ff15???????? | $sequence_11 = { 8955f4 897df0 e9???????? 3b4b24 } // n = 4, score = 300 // 8955f4 | mov dword ptr [ebp - 0xc], edx // 897df0 | mov dword ptr [ebp - 0x10], edi // e9???????? | // 3b4b24 | cmp ecx, dword ptr [ebx + 0x24] $sequence_12 = { 8945f4 897df0 eb0b 8b4320 } // n = 4, score = 300 // 8945f4 | mov dword ptr [ebp - 0xc], eax // 897df0 | mov dword ptr [ebp - 0x10], edi // eb0b | jmp 0xd // 8b4320 | mov eax, dword ptr [ebx + 0x20] $sequence_13 = { 33db ff75f8 ff15???????? 5f 5e 8bc3 5b } // n = 7, score = 300 // 33db | xor ebx, ebx // ff75f8 | push dword ptr [ebp - 8] // ff15???????? | // 5f | pop edi // 5e | pop esi // 8bc3 | mov eax, ebx // 5b | pop ebx $sequence_14 = { 51 8b4d08 52 8d85acf9ffff 50 51 } // n = 6, score = 200 // 51 | push ecx // 8b4d08 | mov ecx, dword ptr [ebp + 8] // 52 | push edx // 8d85acf9ffff | lea eax, [ebp - 0x654] // 50 | push eax // 51 | push ecx $sequence_15 = { 57 e8???????? 8945fc 8b450c 83c404 } // n = 5, score = 200 // 57 | push edi // e8???????? | // 8945fc | mov dword ptr [ebp - 4], eax // 8b450c | mov eax, dword ptr [ebp + 0xc] // 83c404 | add esp, 4 condition: 7 of them and filesize < 851968 }
rule win_eternal_petya_w0 { meta: author = "ReversingLabs" date = "2017-11-29" source = "https://www.reversinglabs.com/newsroom/news/reversinglabs-yara-rule-detects-badrabbit-encryption-routine-specifics.html" info = "ReversingLabs' YARA rule detects BadRabbit encryption routine specifics." malpedia_reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eternal_petya" malpedia_version = "20171222" malpedia_license = "CC BY-NC-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: $encrypt_file = { 55 8B EC 83 EC ?? 53 56 57 8B 7D ?? 8B 4F ?? 33 DB 8D 45 ?? 50 53 53 51 89 5D ?? 89 5D ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 53 53 6A ?? 53 53 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 57 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 39 5D ?? 0F 84 ?? ?? ?? ?? 39 5D ?? 0F 84 ?? ?? ?? ?? 8D 55 ?? 52 56 FF 15 ?? ?? ?? ?? 8B 4F ?? 8B 45 ?? 83 C1 ?? 2B C1 19 5D ?? 89 45 ?? 89 5D ?? 78 ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? B8 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 53 50 53 6A ?? 53 8B F8 56 89 45 ?? 89 7D ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 8B 4D ?? 8B 55 ?? 8D 45 ?? 50 57 6A ?? 51 6A ?? 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 50 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? 3B C7 73 ?? 2B F8 EB ?? 33 FF 8B 55 ?? 8B 42 ?? 8D 4C 38 ?? 6A ?? 51 E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 33 DB 56 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 39 5D ?? 74 ?? 39 5D ?? 75 ?? 8B 47 ?? 8B 35 ?? ?? ?? ?? 50 FF D6 8B 7F ?? 3B FB 74 ?? 57 FF D6 5F 5E 5B 8B E5 5D C3 } $main_encrypt = { 55 8B EC 56 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 89 46 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 7E ?? 57 FF D3 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 FF D3 85 C0 74 ?? 8B 07 8D 5E ?? 53 50 8B 46 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B C6 E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 4E ?? 6A ?? 51 E8 ?? ?? ?? ?? 8B 56 ?? 83 C4 ?? 52 FF 15 ?? ?? ?? ?? 8B 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 0B 51 FF 15 ?? ?? ?? ?? 8B 17 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 46 ?? 50 FF 15 ?? ?? ?? ?? 5F 5B B9 ?? ?? ?? ?? 8D 46 ?? 8B FF C6 00 ?? 40 49 75 ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5E 5D C2 ?? ?? } $encryption_loop = { 8B 7C 24 ?? 6A ?? 6A ?? 8D 43 ?? 50 33 C0 39 43 ?? 0F 95 C0 40 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 57 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 44 24 ?? A8 ?? 74 ?? A9 ?? ?? ?? ?? 75 ?? 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 53 48 50 8B CF 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 71 ?? 90 66 8B 11 83 C1 ?? 66 85 D2 75 ?? 2B CE D1 F9 8D 4C 4C ?? 3B C1 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 94 24 ?? ?? ?? ?? 53 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??} condition: $encrypt_file and $main_encrypt and $encryption_loop }
If your designated proposal does not fit in any other category, feel free to write a free-text in the comment field below.
Please propose all changes regarding references on the Malpedia library page
Your suggestion will be reviewed before being published. Thank you for contributing!
YYYY-MM-DD
YYYY-MM
YYYY