Manuel Statik Analiz — Cl0p Ransomware | Tehdit: KRITIK
파일 Kimligi
| SHA256 | f55e4553ed04f085bc5b93cf7e5386c3d938abcb13a95ef1d2c11b21c16c05a |
|---|---|
| 크기 | 336.384 byte |
| String Sayisi | 1.647 |
RSA Public Key Kaniti
3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe... -- DER formatli RSA public key (ASN.1 sekans) CryptImportPublicKeyInfo -- RSA anahtar import API -- Dosya sifreleme icin gomulu RSA public key
Hizli Sifreleme Altyapisi
CreateIoCompletionPort -- IOCP (I/O Completion Port) CreateMutexA -- Tekli instance kontrolu -- IOCP ile paralel dosya sifreleme (yuksek hiz)
Cl0p Hakkinda
Cl0p (Clop, CLOP), 2019'dan beri aktif FIN11 grubunun ransomware ailesidir. GOZi banker'dan evrilmis, kurumsal hedeflerde double-extortion (veri + sifreleme) uygular. MOVEit Transfer ve GoAnywhere MFT zaafiyetlerini istismar eden kampanyalariyla 2023'te yaygin tespid edilmistir. RSA-1024 ile AES anahtarini sifreler.
IOC
| SHA256 | f55e4553ed04f085bc5b93cf7e5386c3d938abcb13a95ef1d2c11b21c16c05a |
|---|---|
| Sifrelemec | RSA (gomulu public key) + AES |
Clop — 악성코드 프로필
Cl0p (Clop), 2019 dan beri aktif FIN11 ransomware ailesidir. GOZi kaynaklı. MOVEit/GoAnywhere zaafiyetleri ile kitlesel veri hirsizligi. RSA-1024 + AES + IOCP hizli sifreleme.
악성코드 유형
Ransomware
프로그래밍 언어
C/C++
C2 프로토콜
Email
대상 시스템
Kuresel — Kurumsal, Saglik, Finans
기능 및 동작
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC 목록 (1 개 지표)
IOC — Clop
# MUTEX
3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe
| 유형 | 값 | 메모 |
|---|---|---|
| mutex | 3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe | BTC cüzdanı |