Manuel Statik Analiz — Babuk Ransomware | Tehdit: YUKSEK

파일 Kimliği

SHA256624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
크기2.044.928 byte (2MB)
String Sayisi5.076

AES-GCM Kimlik Doğrulamalı Şifreleme

additional authenticated data (AAD) cannot be input after data to be encrypted
-- AES-GCM (Galois/Counter Mode) — kimlik doğrulamalı şifreleme
-- AAD = "Additional Authenticated Data" (ek kimlik doğrulama)
-- AES-GCM ile veriler hem şifrelenir hem imzalanır
-- AAD sayesinde şifreli veri bütünlüğü doğrulanabilir
-- Fidye kodu AES-GCM kullanıyor: fidye anahtar doğrulama mekanizması

Üçlü Anti-Debug

GetTickCount64  -- 64-bit zaman ölçüm
GetTickCount    -- 32-bit zaman ölçüm (eski sistemler)
IsDebuggerPresent -- Windows API debugger tespiti
-- Üçlü tespit: farklı hız/yöntemle debugger varlığını kontrol

IOC

SHA256624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
ŞifrelemeAES-GCM (AAD ile kimlik doğrulamalı)

Babuk2 — 악성코드 프로필

Babuk RaaS 2021 Rusya. AES-GCM AAD kimlik dogrulama sifreli. GetTickCount64 uclu anti-debug. Kurban kaynak kodu sizdi.

악성코드 유형
Ransomware
프로그래밍 언어
C
C2 프로토콜
HTTPS
대상 시스템
Küresel Kurumsal

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (1 개 지표)

IOC — Babuk2
# SHA256 624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
유형메모
sha256 624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
태그
babuk2ransomwareaes-gcm-aadadditional-authenticated-datagettickcpunt64triple-anti-debuggcm-encryption