Lucrative Ransomware Attacks: 
Analysis of the 
CryptoWall 
Version 3 
Threat
Converting pdf to powerpoint - C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
converting pdf to ppt; pdf to powerpoint conversion
Converting pdf to powerpoint - VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
convert pdf to ppt; convert pdf to powerpoint with
Executive Summary
Propagation Vectors
Malware Analysis
Runtime Details
Explorer.exe Injected Function
Svchost.exe Injected Function
Network Communication
File Encryption
CryptoWall v3 Campaigns 
Campaign Telemetry
Shared Campaign Infrastructure
Command and Control Infrastructure
Additional Compromised WordPress Website Scripts
Financial Infrastructure
Conclusion
Recommendations
Appendix
Hashes & First Tier C2 URLs
First Tier C2 Proxy Filenames
Second Tier C2 IP Addresses
Files Written
Spawned Processes
Created Registry Keys
PHP Proxy Script
4
6
11
11
18
20
21
30
43
43
44
45
47
48
51
52
53
53
53
53
54
54
54
55
TABLE OF CONTENTS
C# powerpoint - PowerPoint Conversion & Rendering in C#.NET
This PowerPoint document converting library component offers reliable C#.NET PowerPoint document rendering APIs for developers PowerPoint to PDF Conversion.
image from pdf to ppt; convert pdf slides to powerpoint
C# powerpoint - Convert PowerPoint to PDF in C#.NET
Online C# Tutorial for Converting PowerPoint to PDF (.pdf) Document. PowerPoint Why do we need this PowerPoint to PDF converting library? In
converter pdf to powerpoint; convert pdf into powerpoint online
CYBER THREAT ALLIANCE // ANALYSIS OF THE CRYPTOWALL VERSION 3 THREAT 
<3>
The Cyber Threat Alliance is a group of leading 
cybersecurity solution providers who have 
come together in the interest of their collective 
customers to share threat intelligence.
The Cyber Threat Alliance was formed on September 5, 2014 by Fortinet (NASDAQ: FTNT), Intel Security 
(NASDAQ: INTC), Palo Alto Networks (NYSE: PANW) and Symantec (NASDAQ: SYMC), and now includes 
additional contributing members Barracuda Networks, Inc. (NYSE: CUDA), ReversingLabs, Telefónica, 
and Zscaler. The end goal for the threat intelligence sharing is to raise the collective, situational aware-
ness about advanced cyberthreats and enable members to use the latest threat intelligence information 
to improve defenses against advanced cyber adversaries.  
This report represents a significant first milestone for the Cyber Threat Alliance in its aim to raise aware-
ness about advanced cyberthreats and the motivations and tactics of the bad actors behind them.  All 
of the data, samples, and information contained in this report was sourced by and shared among the 
founding members of the Alliance.  Each Cyber Threat Alliance member dedicated not only samples and 
data but also technical expertise and highly skilled threat intelligence analysts.  These resources were 
shared in the spirit of cooperative research and with a common, targeted goal in sight: to provide an in-
depth, multifaceted look at one of the most lucrative and broad-reaching crimeware campaigns affect-
ing all of our customers around the world. 
We believe that this report, created by the cooperation and shared resources among traditional compet-
itors, marks the first of its kind across the security industry. The Cyber Threat Alliance and its members 
are dedicated to identifying, researching, and exposing incredibly dangerous and impactful threats 
around the world in order to better protect our customers and the open source community.  The threats, 
tactics, and indicators covered within this report have been shared by all Alliance members to maximize 
protection for our respective customers. All of the indicators identified in this effort will also be made 
available to the open source community so that everyone can benefit from the recommended mitigation 
actions.
The Cyber Threat Alliance believes that research of this nature and scale is most successfully accom-
plished by targeted sharing and collaborative analytics of threat intelligence data from various sources 
everything, but together we can ensure we cast as wide a net as possible and put together a more com-
plete picture of the activity we are pursuing.
We aim to conduct more collaborative intelligence activities and to include joint research publications 
on other high profile threats, as well as continuous updates and live trackers for various threat groups/
actors/campaigns, and more. For more information about the Cyber Threat Alliance and how you can 
participate, please visit: cyberthreatalliance.org
Online Convert PowerPoint to PDF file. Best free online export
Then just wait until the conversion from Powerpoint to PDF is complete and download the file Creating a PDF from PPTX/PPT has never been so easy Easy converting!
how to convert pdf slides to powerpoint; picture from pdf to powerpoint
C# PDF Convert to HTML SDK: Convert PDF to html files in C#.net
Best C#.NET PDF Converter SDK for converting PDF to HTML in Visual Studio .NET. This is a C# programming example for converting PDF to HTML.
online pdf converter to powerpoint; how to convert pdf into powerpoint on
CYBER THREAT ALLIANCE // ANALYSIS OF THE CRYPTOWALL VERSION 3 THREAT 
<4>
EXECUTIVE SUMMARY
CryptoWall is one of the most lucrative and broad-reaching ransomware campaigns being witnessed by 
Internet users today. Ransomware is a type of malware that encrypts a victim’s files and subsequently 
demands payment in return for the key that can decrypt said files. When ransomware is first installed on 
a victim’s machine, it will target sensitive files on said machine. These files may contain various types of 
information, such as important financial data, business records, databases, and personal files that may 
hold sentimental value to the victim, such as photos and home movies. 
Once these files are identified, the malware will encrypt them using a key known only by the attackers. 
In order to acquire this key to decrypt these files, the victim must pay a ransom to the attackers, often in 
the form of electronic currency, such as bitcoin. In the event a victim does not have backups of this data, 
and chooses not to pay the ransom, the files are unlikely to be recovered. Ransomware has been known 
to cause irreparable damage to both individual users and large corporations alike. 
CryptoWall is one of many prominent ransomware malware families, which include TorrentLocker, 
TeslaCrypt, and CTB-Locker, among others. The security community first discovered CryptoWall in June 
2014. Since then, a number of variations of CryptoWall have surfaced. The third variant (version 3) be-
gan infecting machines in January 2015. The Cyber Threat Alliance chose to focus their efforts on Cryp-
toWall, given the prevalence of the threat, introduction of the new version, and potential impact to indi-
viduals and organizations around the world. Through this research and sharing of intelligence, members 
of the CTA enhanced their protections for CryptoWall v3 within their individual product offerings, helping 
to ensure the safety of all users. We are making all indicators of compromise (IOCs) public through this 
paper, the Cyber Threat Alliance GitHub repository, and a public online tracker tool to ensure the entire 
community benefits and is better protected not just users of products from CTA members.
The following graphical representation demonstrates the full anatomy of a CryptoWall version 3 (CW3) 
attack lifecycle.
FIGURE 1   Anatomy of a CW3 attack. Source: Cyber Threat Alliance
Attachment
URL
URL
Attachment
PHP Proxy
BTC 
Wallet
BTC 
Wallet
Final 
Wallets
BTC 
Wallet
PHP Proxy
Payment 
Site
Payment 
Site
PHISHING 
EMAILS
Attachment
URL
EXPLOIT 
KITS
VICTIM 
INFECTED
MULTIPLE 
TRANSACTIONS
DISTRIBUTION 
SERVERS
Delivery
Infection
Network 
Infrastructure
Financial 
Infrastructure
VB.NET PDF Converter Library SDK to convert PDF to other file
This guide give a series of demo code directly for converting MicroSoft Office Word, Excel and PowerPoint document to PDF file in VB.NET application.
how to convert pdf into powerpoint slides; converting pdf to powerpoint online
VB.NET PowerPoint: Complete PowerPoint Document Conversion in VB.
Converting PowerPoint document to PDF file can be quite simple provided that this VB.NET PowerPoint Converting SDK is correctly installed and utilized.
how to convert pdf to ppt using; how to change pdf to ppt on
CYBER THREAT ALLIANCE // ANALYSIS OF THE CRYPTOWALL VERSION 3 THREAT 
<5>
FIGURE 2   Attempted Infections of CW3. Source: Cyber Threat Alliance
While investigating the CW3 threat as part of a unified research initiative formed by the Cyber Threat 
Alliance, the following data was identified:
•  4,046 malware samples
• 839 command and control URLs
• 5 second-tier IP addresses used for command and control
• 49 campaign code identifiers
• 406,887 attempted infections of CW3
• An estimated US $325 million in damages
The $325 million in damages spans hundreds of thousands of victims across the globe. While deter-
mining geographic locations heavily impacted by CW3, the North American region was most affected. 
These countries’ affluence likely contributes to them being targeted, as users located in these regions 
are more likely to pay the required ransom amount.
C# PDF Converter Library SDK to convert PDF to other file formats
Free C#.NET SDK library and components for converting PDF file in .NET Windows applications, ASP.NET web programs and .NET console application.
how to change pdf to powerpoint; export pdf into powerpoint
C# PDF Convert to Word SDK: Convert PDF to Word library in C#.net
Word in C#.NET. Online C#.NET Tutorial for Converting PDF to Word (.doc/ .docx) Document with .NET XDoc.PDF Library in C#.NET Class.
pdf picture to powerpoint; converting pdf to ppt online
CYBER THREAT ALLIANCE // ANALYSIS OF THE CRYPTOWALL VERSION 3 THREAT 
<6>
Propagation Vectors
In total, CryptoWall version 3 has been witnessed being distributed primarily in two ways: via phishing 
email and exploit kits. Of the roughly 70,000 instances where CW3 has been seen, about two-thirds of 
these have been via phishing email.
The email messages sent to distribute CW3 are consistent with other frequently encountered malware 
families. Filenames given to the attached files contain commonly seen words, such as ‘internal,’ ‘voice,’ 
‘fax,’ ‘invoice,’ ‘statement,’ etc. One such example of an email containing a CW3 attachment can be 
found below.
The top ten attachment names are shown below. It’s important to note that the majority of these file-
names were originally zipped to avoid detection. As such, the filename displayed as [filename].zip in the 
original email attachment.
Propagation of 
CryptoWall Version 3
67.3%
PHISHING
30.7%
EXPLOIT 
KITS
2.04%
OTHER
FIGURE 3   Infection Vectors for CW3. Source: Cyber Threat Alliance
FIGURE 4   Email containing CW3 attachment. Source: Cyber Threat Alliance
C# PDF Convert to SVG SDK: Convert PDF to SVG files in C#.net, ASP
and WinForms applications. Support converting PDF document to SVG image within C#.NET project without quality loss. C# sample code
how to add pdf to powerpoint; pdf to powerpoint converter online
CYBER THREAT ALLIANCE // ANALYSIS OF THE CRYPTOWALL VERSION 3 THREAT 
<7>
0
2k
4k
6k
8k
10k
bot.exe
internal_31572.scr
VOICE8419-283-481.scr
FAX-id9123912481712931.scr
internal_04531572.scr
invoice_285699291.scr
fax-message942-758-273.scr
internal_A8392J-DNGE82-378251-238375.scr
ACH_Import_Information-UADH-8JAF-HASU-82GJ.scr
credit_application.exe
FIGURE 5   Top malware executable names for CW3 seen in phishing email. Source: Cyber Threat Alliance
As we can see, the majority of the attached files are given a ‘.scr,’ or Microsoft® Windows® screensaver 
file. This is a common tactic employed by attackers to execute code on a victim’s machine, as these 
files act no differently from the more common executable file type. 
The majority of the attached files are .scr files. However, attackers have been obfuscating the file ex-
tensions and icons to make it appear that the .scr files are other types of files, such as PDFs or Office® 
documents. 
Additionally, the majority of the phishing email messages were originally witnessed in the January 
2015–April 2015 time frame. Presumably, the attackers decided to change their tactics in the April 2015 
period and began relying on exploit kits for the distribution and propagation of CW3.
When discussing campaign identifiers, which are addressed in further details later in this report, the Cy-
ber Threat Alliance witnessed just 7 of the overall 49 campaign identifiers being used in phishing email. 
While a large majority of CW3 was witnessed in email attachments, very few campaigns made use of 
this tactic.
CYBER THREAT ALLIANCE // ANALYSIS OF THE CRYPTOWALL VERSION 3 THREAT 
<8>
With regar 
CW3, Angler also distributed other ransomware families, such as AlphaCrypt and TeslaCrypt.
Angler is one of the most advanced crime kits available on the underground markets. It has the capability 
to inject its payload directly into the memory of the victim’s machine running the exploited plug-in, without 
writing the malware on the drive. The payload is sent in an encrypted state. Angler supports a variety of vul-
nerabilities, mostly Flash. The group behind the crime kit is very responsive and known for quickly adapting 
newly discovered zero-days into their kit.
Angler frequently changes its patterns and payloads to hinder the ability of security products to detect the 
active exploit kit. 
Angler performs several evasive actions to avoid detection:
• Uses two levels of redirectors before reaching the landing page.
• Compromised web servers hosting the landing page can be visited only once from an IP.
• The attackers are clearly actively monitoring the hosts.
• Detects the presence of virtual machines and security products in the system.
• Makes garbage and junk calls to be difficult to reverse engineer.
• Encrypts all payloads at download and decrypts them on the compromised machine.
• Uses file-less infection (directly deployed in memory).
• There is some evidence to suggest they are blacklisting IPs originating from security companies and 
researchers.
CryptoWall Version 3 Phishing Campaigns
0
Jan 
2015
Sessions
Mar 
2015
May 
2015
Jul 
2015
2k
4k
6k
8k
10k
hotcrypt
crypt10
crypt13
crypt7
crypt4
profit 7
spam7
FIGURE 6   Campaign codes being used in phishing email. Source: Cyber Threat Alliance
CYBER THREAT ALLIANCE // ANALYSIS OF THE CRYPTOWALL VERSION 3 THREAT 
<9>
The Angler exploit kit performs several steps to successfully infect systems:
• Victim accesses a compromised web server through a vulnerable browser.
• Compromised web server redirects to an intermediate server.
• Intermediate server redirects to a malicious web server hosting the exploit kit’s landing page.
• Landing page checks for the presence of vulnerable plug-ins (e.g., Java®, Flash®, Silverlight®) and their 
version information.
• When a vulnerable browser or plug-in is found, the exploit kit delivers the proper payload and infects the 
machine.
Vulnerable browser
Redirector 1
Compromised server  
redirecting to malicious server
Compromised system
Server delivering exploits 
and malicious payloads
Victim
Checks for virtual machine
and security products
Ends with JavaScript 
exception error
Redirector 2
Either hosted by Angler 
or compromised server
Server serving Angler
exploit kit page
1
2
3
4
5
6
NO
YES
FIGURE 7   Angler infection chain. Source: Cyber Threat Alliance
CYBER THREAT ALLIANCE // ANALYSIS OF THE CRYPTOWALL VERSION 3 THREAT 
<10>
Exploit Kit
Identified Campaign Names
Angler
hotcrypt, crypt13
Magnitude
crypt100, crypt107
Neutrino
crypt1302
RIG
crypt2
Exploit kits witnessed distributing CW3, with identified campaign IDs, include the following:
The Sundown exploit kit, VIP exploit kit, and Fiesta exploit kit were also witnessed distributing CW3.
As mentioned during our research, 49 unique campaign names were identified overall. In particular, the ‘hot-
crypt’ campaign was heavily distributed via the Angler exploit kit. Below is an overview of the widespread 
nature of this campaign and its relationships with other components:
FIGURE 8   Distribution of ‘hotcrypt’ campaign via Angler exploit kit. Source: Cyber Threat Alliance
Documents you may be interested
Documents you may be interested