confinement - HackMD

hayabusa -> down intel.zip từ IP 13.53.200.146 vào folder Users/tommyxiaomi/Documents > **Dùng hayabusa rồi thì đọc hết alert map với rule đi** ![image](https://hackmd.io/_uploads/rk3SgWlRT.png) unzip ![image](https://hackmd.io/_uploads/H19nf-l0a.png) -> chạy các file intel.exe (file malw encrypt file) và browser-pw-decrypt.exe (chạy các lib để encrypt) ![image](https://hackmd.io/_uploads/HJJp7bxRa.png) ! file intel.exe lỗi 2 lần: ![image](https://hackmd.io/_uploads/By9YuWlC6.png) log wer ![image](https://hackmd.io/_uploads/r1LbhWx0p.png) intel.exe - PID: 0x1c44 ![image](https://hackmd.io/_uploads/H19Q9Wl0p.png) ![image](https://hackmd.io/_uploads/SkF7KZeCp.png) ![image](https://hackmd.io/_uploads/S1EktbxRa.png) parse file prefetch ![image](https://hackmd.io/_uploads/HkYbQ-xRT.png) ![image](https://hackmd.io/_uploads/B1tmmZe06.png) -> sau đó rm hết các .exe và intel.zip ![image](https://hackmd.io/_uploads/HyuPmZgC6.png)