Genel Bakış
B.crypted Ransomware, gelişmiş bir fidye yazılımıdır. 파일ları .B.crypted uzantısıyla şifreleyerek Tor anonimlik ağı üzerinden ödeme talep eder. WMI kullanarak gölge kopyaları silen bu malware; özellikle Webroot, COMODO ve diğer güvenlik ürünlerini hedef alarak önce güvenlik süreçlerini sonlandırır, ardından şifrelemeye başlar.
Teknik Analiz
Tor C2 Altyapısı
- C2 Adresi:
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion - Ödeme/anahtar alımı Tor ağı üzerinden yapılmaktadır
Fidye Mesajı
"Your files have been encrypted."
"Content of your files have been modified. Without special key you can't undo that operation."
"We will give you special decryption program and instructions."
WMI ile Shadow Copy Silme
Standart vssadmin delete shadows komutu yerine WMI doğrudan kullanılmaktadır — bu yöntem bazı güvenlik araçları tarafından daha az tespit edilir:
select * from Win32_ShadowCopy
Win32_ShadowCopy.ID='%s' → her kopyayı tek tek siler
ShadowProtectSvc— ShadowProtect yedekleme servisini durdururavshadow.exe— Webroot gölge kopya ajanını sonlandırır
신뢰도lik Ürünü Kill Listesi
Şifrelemeden önce şu güvenlik süreçleri sonlandırılmaktadır:
| Süreç | Ürün |
|---|---|
| wrsa.exe / wrsa* | Webroot SecureAnywhere Antivirus |
| avgrsa.exe | AVG/Webroot entegrasyon ajanı |
| aesecurityservice.exe | Webroot AES Security Service |
| avshadow.exe | Webroot Shadow Copy Agent |
| cmdagent.exe | COMODO Internet Security |
| winvnc4.exe / WinVNC4 | UltraVNC uzak masaüstü |
| csinject.exe | CrowdStrike Injection Module |
| prgateway.exe | Parallels Remote Application Server |
| prftpengine.exe | Parallels FTP Engine |
| bdredline.exe | Bitdefender RedLine Component |
| isntsmtp.exe | Symantec SMTP Scanner |
| pxemtftp.exe | PXE TFTP Server (yedekleme altyapısı) |
| zoolz.exe / Zoolz 2 Service | Zoolz Cloud Backup |
| zonealarm.exe | ZoneAlarm Firewall |
| zlclient.exe | ZoneAlarm Client |
PE Yapısı
- 파일 Entropi: 2.67 (düşük — minimal obfüskasyon)
.shellbölümü (standart olmayan section adı)- TLS Directory mevcut (anti-debug potansiyeli)
- Zero/invalid timestamp
Teknik 속성ler
| 속성 | 값 |
|---|---|
| Uzantı | .B.crypted |
| C2 | Tor onion (6x7dp6h3...) |
| VSS Silme | WMI Win32_ShadowCopy (vssadmin kullanmaz) |
| 신뢰도lik Kill | Webroot, COMODO, ZoneAlarm, Bitdefender, CrowdStrike |
| 아키텍처 | PE32 x86 |
IOC Özeti
- Tor C2:
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion - Uzantı: .B.crypted
- SHA256:
8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
IOC 목록 (2 개 지표)
# SHA256
8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
# DOMAIN
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2 | |
| domain | 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion |
C2 서버 (이 패밀리에 대해 1개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion | domain | 443 | custom | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.