Derin Analiz - Cerber Ransomware | Tehdit: KRITIK
파일 Kimligi
| SHA256 | 4a2ad49c934f9ae6ca6b5d0c7cc34f5e12d349640012fa8cf8eb7e2d3acd6c9f |
|---|---|
| 크기 | 1,978,368 byte PE32 x86, entropi 2.69 |
| 패밀리 | Cerber Ransomware (RaaS - 2016-2017) |
Cerber Ransomware Kimlik Dogrulama
CERBER: 2016-2017 yillarinin en buyuk RaaS (Ransomware-as-a-Service) gruplarından biri!
cerber -> .cerber uzantisi (sifrelenenmis dosya uzantisi)\nkf6XBQ_-cB.cerber <- sifrelenenmis dosya ornegi\nxdf7G7iMQy.cerber <- rastgele isimlendirilmis sifrelenenmis dosya\n# DECRYPT MY FILES #.vbs <- VBScript fidye notu\n# DECRYPT MY FILES #.html <- HTML fidye notu\n\nKurban ID: 45ED-FB92-752D-26DA-53C8\nGUID: 1A8308C7-90D1-4200-B16E-646F163A08E8
C2 Odeme Sayfasi (Tor2Web Proxyleri)
C2: 4 farkli Tor2Web proxy uzerinden erisilen Cerber odeme paneli!
http://cerberhhyed5frqa.onion.to/45ED-FB92-752D-26DA-53C8\nhttp://cerberhhyed5frqa.onion.cab/45ED-FB92-752D-26DA-53C8\nhttp://cerberhhyed5frqa.onion.nu/45ED-FB92-752D-26DA-53C8\nhttp://cerberhhyed5frqa.onion.link/45ED-FB92-752D-26DA-53C8\nhttp://cerberhhyed5frqa.onion/45ED-FB92-752D-26DA-53C8 <- direkt Tor\n\ncevacont1234@gmail.com <- fidye notu iletisim emaili
Gelismis Yetenekler
DENETIM LOGU DEVRE DISI:\n auditpol.exe /set /... <- Windows audit logu kapatilir!\n AppData\Roaming\{GUID}\auditpol.exe (kalici erisim)\n\nPROCESS ENJEKSIYONU:\n VirtualAllocEx / WriteProcessMemory\n\nKRIPTO CUZDANI HEDEFE ALMA:\n wallet.dat / Cookies\n\nDIS IP TESPITI:\n ipinfo.io <- kurban IP ve lokasyon tespiti\n\nYETKI YUKSELTME:\n AdjustTokenPrivileges <- NT Authority/NetworkServiceIOC
| SHA256 | 4a2ad49c934f9ae6ca6b5d0c7cc34f5e12d349640012fa8cf8eb7e2d3acd6c9f |
|---|---|
| 패밀리 | Cerber Ransomware (RaaS 2016-2017) |
| Uzanti | .cerber |
| C2 Tor | cerberhhyed5frqa.onion (4 Tor2Web) |
| cevacont1234@gmail.com | |
| Kurban ID | 45ED-FB92-752D-26DA-53C8 |
CerberRansomware — 악성코드 프로필
Cerber Ransomware - 2016-2017 yillarinin en buyuk RaaS (Ransomware-as-a-Service) platformu. .cerber uzantisi ile dosya sifreleme, 4 Tor2Web proxy uzerinden erisilen odeme paneli, auditpol.exe ile Windows audit logu kapatma, VBScript ve HTML fidye notlari. RSA+RC4 sifrelemesi.
악성코드 유형
Ransomware
프로그래밍 언어
C
C2 프로토콜
HTTP/Tor
대상 시스템
Kuresel
기능 및 동작
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC 목록 (6 개 지표)
IOC — CerberRansomware
# SHA256
4a2ad49c934f9ae6ca6b5d0c7cc34f5e12d349640012fa8cf8eb7e2d3acd6c9f
# EMAIL
cevacont1234@gmail.com
# URL
http://cerberhhyed5frqa.onion.to/45ED-FB92-752D-26DA-53C8
# URL
http://cerberhhyed5frqa.onion.cab/45ED-FB92-752D-26DA-53C8
# URL
http://cerberhhyed5frqa.onion.nu/45ED-FB92-752D-26DA-53C8
# URL
http://cerberhhyed5frqa.onion.link/45ED-FB92-752D-26DA-53C8
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 4a2ad49c934f9ae6ca6b5d0c7cc34f5e12d349640012fa8cf8eb7e2d3acd6c9f | |
| cevacont1234@gmail.com | ||
| url | http://cerberhhyed5frqa.onion.to/45ED-FB92-752D-26DA-53C8 | |
| url | http://cerberhhyed5frqa.onion.cab/45ED-FB92-752D-26DA-53C8 | |
| url | http://cerberhhyed5frqa.onion.nu/45ED-FB92-752D-26DA-53C8 | |
| url | http://cerberhhyed5frqa.onion.link/45ED-FB92-752D-26DA-53C8 |
C2 서버 (이 패밀리에 대해 1개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| cerberhhyed5frqa.onion | domain | 80 | HTTP | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.