FortiSIEM Rules

UEBA Policy detects ransomware file types

Rule ID

PH_Rule_UEBA_TAG_4

Default Status

Enabled

Description

FortiSIEM UEBA Policy detects ransomware file types

Severity

7

Category

Security

MITRE ATT&CK® Tactics

UEBA

MITRE ATT&CK® Techniques

No Technique Specified

Impacts

Application

Data Source

Windows via FortiSIEM Agent with UEBA turned on

Detection

Correlation

Remediation Guidance

No remediation guidance specified

Time Window

If the following pattern or patterns match an ingested event within the given time window in seconds, trigger an incident.

600 seconds

Trigger Conditions

If the following defined pattern/s occur within a 600 second time window.

UEBA

SubPattern Definitions

SubPattern Name: UEBA

This is the named definition of the event query, this is important if multiple subpatterns are defined to distinguish them.

SubPattern Query

This is the query logic that matches incoming events

eventType = "FINS-Windows-file-created" AND fileExt IS NOT NULL AND fileExt IN (".!emc", "#", "##___policja!!!___ten_plik_zosta", "##encrypted_by_pablukl0cker##", "#__encrypted_by_dzikussst3am_ransomware!__#", "#locky", "0000", "010001", "0402", "0wn3dyou", "0x0", "0x004867", "0x009d8a", "101", "1999", "1btc", "1txt", "24h", "2cxpcihgsvxb3", "2lwnpp2b", "2xx9", "3301", "3ncry", "3ncrypt3d", "3p7m", "3rnu", "449o43", "490", "491", "492", "4rwcry4w", "4x82n", "63vc4", "666", "6db8", "6fkr8d", "707", "725", "726", "73i87a", "777", "7h9r", "7zipper", "8637", "888", "8lock8", "911", "96e2", "@decrypt2017", "@decrypt_2017", "[id62133703]", "[papillon9275]", "__dilmav1", "_airacropencrypted!", "_ryp", "a19", "a5zfn", "a604af9070", "a990", "a9v9ahu4", "aaa", "aajf", "abc", "acc", "actum", "adam", "adk", "adobe", "adobee", "adolfhitler", "adr", "aes!", "aes", "aes-ni", "aes256", "aes_ni", "aes_ni_0day", "aesir", "afd", "aga", "airacropencrypted!", "akaibvn", "akira", "alcatraz", "aleta", "alfablock", "alien", "alkohol", "allcry", "alosia", "am", "amba", "amber", "amnesia", "anami", "andonio", "android", "andymarvin", "angelamerkel", "angleware", "animus", "annabelle", "annabelle2", "anon", "anonymous", "antihacker2017", "anubi", "ap19", "aqva", "area", "arena", "areyoulovemyrans", "areyoulovemyransfile", "armadilo1", "armage", "arpt", "arrow", "artemy", "asasin", "asdasdasd", "atlas", "atom", "au1crypt", "audit", "auf", "aurora", "axx", "azer", "b0ff", "b10cked", "b29", "b5c6", "b89b", "backup", "badnews", "bagi", "balozin", "bam!", "bananacrypt", "barracuda", "barrax", "bart", "basslock", "bawsuooxe", "bbqb", "bdkr", "bear", "beef", "beep", "beer", "beethoven", "belgian_cocoa", "betta", "better_call_saul", "bgtx", "big1", "big4+", "bill_clinton@derpymailorg", "billingsupp", "bip", "birbb", "bit", "bitconnect", "bitkangoroo", "bitstak", "bizer", "bkp", "black007", "blackhat", "blackpink", "blackrouter", "blackruby", "blank", "bleep", "bleepyourfiles", "blind", "blind2", "bloc", "blocatto", "bloccato", "block", "block_file12", "blocked", "blocked2", "bloked", "blower", "bmcode", "bomber", "bonum", "booknish", "boost", "boris", "braincrypt", "brcrypt", "breaking bad", "breaking_bad", "breeding123", "brickr", "bript", "brrr", "brt92", "btc -help-you", "btc", "btc-help-you", "btcbtcbtc", "btcking", "btcware", "bugware", "bunny", "bush", "bvjznsjlo", "c0rp0r@c@0xr@", "cammora", "canihelpyou", "cassetto", "cawwcca", "cbf", "cbu1", "ccc", "cccmn", "cccrrrppp", "cdrpt", "ceber3", "cekisan", "cerber", "cerber2", "cerber3", "cerber6", "cerbersyslocked0009881", "cesar", "cezar", "cfk", "cfm", "chak", "charck", "charcl", "charm", "chartogy", "che808", "chech", "checkdiskenced", "chifrator@qq_com", "chip", "choda", "christmas", "cifgksaffsfyghd", "ciop", "ck", "clf", "clinton", "clop", "cloud", "cmb", "cmsnwned", "cnc", "cobra", "cockista", "code", "coded", "coin", "combo", "commonransom", "comrade", "conficker", "contactus", "corrupted", "country82000", "coverton", "cqxgpmknr", "cr020801", "crab", "crabs", "cradle", "crash", "crashed", "crazy", "creeper", "crh8", "crime", "crinf", "cripted", "criptiko", "criptokod", "cripton", "cripttt", "crjocker", "crjoker", "crptd", "crptrgr", "crptxxx", "crrrt", "cry", "cry128", "cry36", "cry9", "crybrazil", "crying", "cryp1", "crypt", "crypt1", "crypt12", "crypt2019", "crypt38", "crypt888", "crypte", "crypted", "crypted000007", "crypted034", "crypted_bizarrio@pay4me_in", "crypted_file", "crypted_marztoneb@tutanota_de", "crypted_pony_test_build_xxx_xxx_xxx_xxx_xxx", "cryptedopps", "cryptes", "cryptfile", "cryptgh0st", "crypto", "cryptoboss", "cryptobyte", "cryptojoker", "cryptolocker", "crypton", "cryptonar", "cryptoshiel", "cryptoshield", "cryptotorlocker2015!", "cryptowall", "cryptowin", "cryptr", "crypttt", "cryptwalker", "cryptz", "crypz", "crysis", "cspider", "ctb2", "ctbl", "ctbl2", "cyberdrill", "cybergod", "cybersccp", "cybersoldiersst", "cyclone", "cypher", "cyron", "czvxce", "d2550a49bf52dfc23f2c013c5", "d3g1d5", "d4nk", "da_vinci_code", "dale", "damage", "damoclis", "danger", "darkcry", "darkness", "data_is_safe_you_need_to_make_the_payment_in_maxim_24_hours_or_all_your_files_will_be_lost_forever_please_be_rezonable_is_not_a_joke_time_is_limited", "datastop", "datawait", "david", "dcry", "dcrypt", "ddpcbi", "decodeme666@tutanota_com", "decodeme666tutanota_com", "decrypt2017", "decryptgarranty", "decryptional", "ded", "dedo", "deep", "defender", "delphimorix!@@@@_@@_@_2018_@@@_@_@_@@@", "demonslay335_you_cannot_decrypt_me!", "deria", "desu", "desync", "deuscrypt", "dexter", "dfjhsalfhsakljfhsljkahfdjklashfdjklh", "dg", "dharma", "dhdr4", "diablo6", "dian", "die", "diskdoctor", "disposed2017", "divine", "djuvq", "djvup", "djvuq", "djvur", "djvus", "djvut", "djvuu", "dlenggrl", "dolphin", "domino", "donut", "doomed", "doples", "doubleoffset", "doxes", "dqxoo", "dragnea", "dream", "ds335", "ducueyuav", "duhust", "dviide", "dwbiwty", "dxjay", "dxxd", "dy8wud", "dyaaghemy", "dyatel@qq_com", "e4m", "ebay", "ecc", "eclr", "eddldzor", "edgel", "egg", "eky", "elpvd", "eman", "eman50", "embrace", "emilysupp", "empty", "enc", "encedrsa", "encencenc", "enciphered", "encmywork", "encoderpass", "encr", "encrptd", "encrypt", "encrypted", "encrypted5", "encryptedaes", "encryptedped", "encryptedrsa", "encryptedyourfiles", "encryptile", "enigma", "enjey", "enter", "enybenied", "eoeo", "epic", "epoblockl", "eqtz", "error", "eternity", "ev", "evil", "evillock", "evolution", "evopro", "excuses", "executioner", "exotic", "exploit", "explorer", "exte", "exx", "ezz", "ezzyl", "facebook", "failedaccess", "fairytail", "fake", "fantom", "fartplz", "fast", "fastbob", "fat32", "fbuvkngy", "fcrypt", "fff", "file", "file0locked", "filegofprencrp", "fileiscryptedhard", "filesfucked", "fileslack", "filgzmsp", "filock", "fire", "firecrypt", "firmabilgileri", "fix", "fixt", "fj7qvar9vumi", "flat", "flux", "flyper", "fmoon", "fox", "freefoam", "frend", "frendi", "frivolity", "frmvrlr2017", "frs", "frtrss", "fsdfsdfsdfsdfsdfsfdsfs", "fuck", "fuck_you", "fuck_you_av_we_are_not_globe_fake", "fucked", "fuckedbyghost", "fucku", "fuckyourdata", "fun", "funny", "g8xb", "g^od", "game", "gamma", "gangbang", "ganklocked", "garcewa", "garrantydecrypt", "gblock", "gdb", "gdcb", "gefest", "gefest3", "gefickt", "gembok", "gerber5", "getrekt", "gg", "ghost", "gigahertz", "gillette", "globe", "gman", "gmbn", "gmpf", "gocr", "godra", "goforhelp", "gommemode", "good", "gorilla", "gotham", "gotya", "gr3g", "granny", "granosinsa", "grhan", "grt", "grujars", "grux", "gruzin@qq_com", "gryphon", "gsupport3", "gui", "gws", "h3ll", "h_f_d_locked", "ha3", "hac", "hacked", "hakunamatata", "hannah", "happ", "happenencedfiles", "happy", "happydayzz", "happyness", "harzhuangzi", "hasp", "haters", "hb15", "hcked", "heets", "heisenberg", "hello", "helpdecrypt@ukr_net", "helpmeencedfiles", "herbst", "heroesofthestorm", "hhfehiol", "hilegofprencrp", "hitler", "hncdumn", "hncrypt", "hnumkhotep", "hnyear", "honor", "horros", "horsuke", "howcanihelpusir", "hrm", "htrs", "hush", "hyena", "i'want money", "iaufkakfhsaraf", "id-3044989498_x3m", "ifuckedyou", "igotyou", "igza4c", "ihsdj", "illnest", "iloveworld", "impect", "improved", "imsorry", "incanto", "incpas", "indrik", "infected", "infileshop@gmail_com_id44", "infinite", "infowait", "insane", "insta", "invaded", "ipcrestore", "ipygh", "ironhead", "isis", "ispfv", "israbye", "itlock", "iudgkwv", "iwant", "iwanthelpuuu", "jaff", "james", "jamper", "jcry", "jeepers", "jes", "jewsomware", "jey", "jezroz", "jfcwf", "jimm", "jkouogvg", "jodis", "josep", "jse", "jungle@anonymousspechcom", "junked", "jupstb", "justbtcwillhelpyou", "justice", "k0stya", "k8vfiz", "kali", "karls", "karne", "katipuneros", "katyusha", "kb15", "kcwenc", "kee", "keepcalm", "kencf", "kernel_complete", "kernel_pid", "kernel_time", "keybtc@inbox", "keybtc@inbox_com", "keyh0les", "keyholes", "keypass", "keyz", "kezoz", "kg9ex", "kgpvwnr", "kilit", "kill", "killedxxx", "kimchenyn", "kimcilware", "kirked", "kitty", "kk", "kkk", "klope", "kok", "kok08", "kok8", "korea", "koreagame", "korrektor", "kostya", "kr3", "krab", "kraken", "kratos", "kraussmfz", "kropun", "kroput", "kroput1", "krypted", "kryptonite", "krzffw", "ktuhzxpi", "kuajw", "kuntzware", "kvllyatprotonmaildotch", "kwaaklocked", "kyra", "l0cked", "l1ll", "lalabitch,", "lambda_l0cked", "lamo", "lckd", "lcked", "lechiffre", "leen", "leenapidx", "legion", "lego", "leon", "lesli", "letmetrydecfiles", "lfk", "lgawpulm", "lightning", "like", "lime", "lin", "lock75", "lock93", "lockd", "locked", "locked-by-mafia", "locked3", "locked_by_mr_anonymous(tz_hackers)", "locked_by_pablukl0cker", "locked_file", "lockedfile", "lockedgood", "lockify", "locklock", "lockme", "lockout", "locky", "lockymap", "lokitus", "lol!", "lol", "loli", "lolita", "lolsec", "loptr", "lordofshadow", "losers", "lost", "loveransisgood", "lovewindows", "loveyou", "loveyouisreal", "ltml", "luceq", "luces", "lucky", "lukitus", "madebyadam", "mafee", "magic", "magic_software_syndicate", "maktub", "malki", "malwarehunterteam", "mamasitaq", "mammon", "maniac", "mariacbc", "master", "matrix", "maxicrypt", "maya", "maysomware", "mbrcodes", "mcafee", "mdk4y", "mecury", "medal", "mention9823", "mercury", "merry", "metan", "mich", "micro", "mikoyan", "mind", "mmm", "mole", "mole00", "mole01", "mole02", "mole03", "mole04", "mole66", "moments2900", "monro", "mordor", "mouse", "mrcr1", "msj", "mtc", "mtk118", "mtxlock", "mvp", "mychemicalromance4ever", "myjob", "myransext2017", "nalog@qq_com", "nano", "napoleon", "nazcrypt", "ndpyhss", "needdecrypt", "needkeys", "neitrino", "nemesis", "neptune", "netn6", "newrar", "news", "nigga", "nm4", "nmcrypt", "no_more_ransom", "no_more_ransomware", "nobad", "noblis", "nochance", "node0", "noob", "nopasaran", "noproblemwedecfiles", "nosafe", "nostro", "not", "not_open", "notfoundrans", "nozelesn", "nsmf", "nuclear", "nuclear55", "nuke55", "numberdot", "nutella", "nwcrypt", "obfuscated", "oblivion", "ocean", "odcodc", "odin", "ogonia", "ogre", "ohno!", "okokokokok", "olduw", "oled", "omerta", "omg!", "one-we_can-help_you", "oneway", "oni", "onion", "onlinesupport", "only-we_can-help_you", "onyon", "onyx", "oofnik", "oops", "oor", "oplata@qq_com", "ordinal", "oshit", "osiris", "osk", "oslawcmme", "otherinformation", "otr", "owned", "ox4444", "oxr", "p5tkjw", "pa-siem", "pablukcrypt", "pabluklocker", "padcrypt", "panda", "parrot", "pausa", "pay", "pay2me", "pay_in_maxim_24_hours_or_all_your_files_will_be_permanently_deleted_please_be_rezonable_you_have_only_1_single_chance_to_make_the_payment", "paybtcs", "paycoin", "paycyka", "payday", "payfordecrypt", "payforunlock", "paym", "paymds", "paymrss", "paymrts", "payms", "paymst", "paymts", "payransom", "payrms", "pays", "paytounlock", "pdcr", "pdff", "pedant", "pedo", "pegs1", "pennywise", "peosajwqfk", "petya", "pfanz", "phantom", "phobos", "pico", "pirate", "pizda@qq_com", "pizdec", "pizdosik", "pky", "planetary", "plant", "plauge17", "pleasecallqq", "plin", "pluto", "pnr", "poar2w", "pohu", "poolezoor", "porno", "pornoransom", "poshkoder", "potato", "powerfuldecrypt", "powerfulldecrypt", "powned", "poyvonm", "ppam", "pr0tect", "prcp", "predator", "privat66", "promock", "promorad", "promorad2", "promos", "promoz", "prosperous666", "protonis", "pscrypt", "psh", "ptgepvekm", "pulsar1", "puma", "pumax", "purge", "pwned", "pzdc", "qnbqw", "qwerty", "qweuirtksd", "qwex", "qwqd", "r16m01d05", "r3k7m9", "r3store", "r4a", "r4bb0l0ck", "r5a", "raas", "rad", "radamant", "raid10", "ram", "ramen", "rand", "ranranranran", "ranrans", "ransed", "ransom", "ransomaes", "ransomcrypt", "ransommine", "ransomwared", "rapid", "rare1", "rastakhiz", "rat", "razarac", "razy", "razy1337", "rcrypted", "rdm", "rdmk", "rdwf", "readme_txt", "reagan", "rebus", "recme", "recoveryourfiles", "redeye", "rekt", "relock@qq_com", "remind", "rensenware", "rent", "resurrection", "revenge", "revolution", "reyptson", "rip", "risk", "rjzuna", "rmcm1", "rnsmwr", "rnsmwre", "rokku", "rontok", "rose", "rpd", "rrk", "rsnslocked", "rsplited", "rsucozxze", "rtyrtyrty", "rumba", "rumblegoodboy", "ryk", "ryp", "ryx", "s1crypt", "sage", "saherblueeagleransomware", "salsa222", "same", "samsung", "sanction", "santana", "satan", "satana", "saturn", "satyr", "savefiles", "sblock", "scarab", "scl", "scorpio", "scorpion", "sdk", "sdwwbrb", "sea", "secure", "securecrypte", "securecrypted", "seed", "senrus17", "sepsis", "serp", "serpent", "server", "sevendays", "sexy", "sf", "sgood", "shadi", "shadow", "shark", "shifr", "shinigami", "shino", "shit", "shrug", "shrug2", "shutdown57", "shutupanddance", "sifreli", "sigrun", "sil3nt5pring", "silent", "sinta", "sjjpu", "skjdthghh", "skunk", "skvtb", "sky", "skype", "slav", "slvpawned", "snake", "snake4444", "snatch", "solo", "son", "sophos", "sorry", "spct", "spectre", "spider", "spora", "sport", "srpx", "sshxkej", "stinger", "stn", "stop", "stroman", "styver", "styx", "suffer", "supercrypt", "supported2017", "suppose666", "surprise", "suspended", "sux", "svn", "switch", "symbiom_ransomware_locked", "symmyware", "sysdown", "szesnl", "szf", "taronis", "tastylock", "tax", "tdelf", "technicy", "tedcrypt", "telebak", "tesla", "test", "tfude", "tfudeq", "tfudet", "tgif", "thanatos", "thda", "thetrumplockerf", "thetrumplockerp", "theva", "theworldisyours", "thor", "thunder", "tornado", "toxcrypt", "trans", "triple_m", "trmt", "tro", "tron", "troyancoder@qq_com", "true", "trump", "trun", "ttt", "tunca", "twist", "tzu", "udjvu", "udz2j8mv", "uik1j", "uiwix", "ukcza", "ukrain", "unavailable", "unit09", "unlis", "uselessfiles", "usr0", "uudjvu", "vaca", "vanss", "vapor", "vault", "vbransom", "vcrypt1", "vdul", "velikasrbija", "velso", "vendetta", "vendetta2", "venusf", "venusp", "vforvendetta", "via", "viiper", "viki", "vindows", "visioncrypt", "volcano", "vpgvlkb", "vrmrkz", "vscrypt", "vulston", "vvv", "vxlock", "w0yr8", "wallet", "wamarlocked", "wana decrypt0r trojan-syria editi0n", "wand", "wannacryv2", "warn_wallet", "wcry", "wcryt", "wdie", "weapologize", "weareyourfriends", "weencedufiles", "wflx", "whatthefuck", "whereisyourfiles", "why", "whycry", "wincry", "windows", "windows10", "wlu", "wmfxdqz", "wncry", "wncrypt", "wncryt", "wndie", "wnry", "wooly", "work", "wormcrypt0r", "wowreadfordecry", "wowreadfordecryp", "wowwhereismyfiles", "write", "write_on_email", "write_us_on_email", "wrny", "wsmile", "wtdi", "wtf", "wuciwug", "www", "wxdrjbgsda", "wyvern", "x0lzs3c", "x1881", "x3m", "x3mpro", "xbtl", "xcri", "xcry7684", "xcrypt", "xdata", "xero", "xfile", "xhspythxn", "xiaoba", "xiaoba1", "xiaoba10", "xiaoba11", "xiaoba12", "xiaoba13", "xiaoba14", "xiaoba15", "xiaoba16", "xiaoba17", "xiaoba18", "xiaoba19", "xiaoba2", "xiaoba20", "xiaoba21", "xiaoba22", "xiaoba23", "xiaoba24", "xiaoba25", "xiaoba26", "xiaoba27", "xiaoba28", "xiaoba29", "xiaoba3", "xiaoba30", "xiaoba31", "xiaoba32", "xiaoba33", "xiaoba34", "xiaoba4", "xiaoba5", "xiaoba6", "xiaoba7", "xiaoba8", "xiaoba9", "xmdxtazx", "xncrypt", "xolzsec", "xorist", "xort", "xrnt", "xrtn", "xtbl", "xuy", "xvnaw", "xwz", "xxx", "xxxxx", "xy6lr", "xyz", "xz", "xzzx", "yakes", "yatron", "yaya", "yiaqdg", "ykcol", "yl", "yoewy", "yolo", "you-are-fucked-by-baliluware-(coded-by-heropoint)", "youransom", "yourransom", "ytbl", "yyto", "z3r0", "z81928819", "zablokowane", "zayka", "zbt", "zc3791", "zcrypt", "zendr4", "zepto", "zilla", "zimbra", "zino", "ziqzqzdi", "zlpzdel", "zorro", "zuzya", "zw", "zxz", "zycrypt", "zyklon", "zzz", "zzz12", "zzzz", "zzzzz", "zzzzzzzz", "{cryptendblackdc}", "~xdata~")  AND user NOT REGEXP ".*\$$|dwn-.*|dwm-.*|umfd-.*|.*SYSTEM.*|.*ANONYMOUS.*"

Group by Attributes

This defines how matching events are aggregated, only events with the same matching attribute values are grouped into one unique incident ID

hostName,domain,user,procName

Aggregate Constraint

This is most typically a numerical constraint that defines when the rule should trigger an incident

COUNT(*) >= 1

Incident Attribute Mapping

This section defines which fields in matching raw events should be mapped to the incident attributes in the resulting incident.

The available raw event attributes to map are limited to the group by attributes and the aggregate event constraint fields for each subpattern

 hostName = UEBA.hostName,
 domain = UEBA.domain,
 user = UEBA.user,
 procName = UEBA.procName