Manuel Statik Analiz — Dharma Ransomware (Crysis 패밀리si) | Tehdit: YUKSEK

파일 Kimliği

SHA2565671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
크기1.095.680 byte
String Sayisi5.092

Fidye İletişim ve Ödeme Altyapısı

firemail.cc       -- .cc = Cocos Adaları TLD (az bilinen)
                  -- Anonim email servisi üzerinden kurban iletişimi
uncryptfile.com   -- Dharma'nın kendi şifre çözme servisi!
                  -- "Dosyanızı buradan çözebilirsiniz" tuzağı
https://localbitcoins.com/buy_bitcoins  -- Bitcoin satın alma rehberi
http://www.coindesk.com/information/how-can-i-  -- Bitcoin bilgi

Bitcoin Cüzdanlar

13bpPxtiX48ccfV6ampj4kpfz3wLuvtp1lW
13URQhAKhdqlxZUgBBiGwHEsbLuGaWpkMhk

Dharma Hakkında

Dharma (Crysis varyantı), 2016'dan beri aktif olan RaaS fidye yazılımıdır. RDP brute force ile giriş yapar, AES-256 + RSA-1024 ile şifreler. firemail.cc üzerinden kurban iletişimi sağlar. 2020'de kaynak kodu sızdı ve birçok varyant ortaya çıktı. Küçük/orta işletmeleri hedefler.

IOC

SHA2565671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Email C2firemail.cc (.cc Cocos Islands)
Servisuncryptfile.com
BTC13bpPxtiX48ccfV6ampj4kpfz3wLuvtp1lW
BTC13URQhAKhdqlxZUgBBiGwHEsbLuGaWpkMhk

Dharma — 악성코드 프로필

Dharma ransomware. firemail.cc email iletisim. wmic shadowcopy delete yedek imhasi. Crypto++ RSA+AES. Çok yıllık aktif.

악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
대상 시스템
Windows
다른 이름 (AKA)
Crysis

기술 세부 정보

Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (4 개 지표)

IOC — Dharma
# DOMAIN firemail.cc # DOMAIN uncryptfile.com # DOMAIN localbitcoins.com # DOMAIN coindesk.com
유형메모
domain firemail.cc
domain uncryptfile.com
domain localbitcoins.com
domain coindesk.com

C2 서버 (이 패밀리에 대해 2개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
firemail.cc domain 443 HTTPS active —
uncryptfile.com domain 443 HTTPS inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
dharmacrysisfiremail-cccc-tlduncryptfile-comlocalbitcoinsbtc-walletsransomware