Manuel Statik Analiz — Dharma Ransomware | Tehdit: 심각

파일 Kimliği

SHA2565671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
크기1.095.680 byte (1.1MB)
String Sayisi5.092

Yedek İmhası: wmic shadowcopy delete

심각: Windows Volume Shadow Copies siliniyor!
start cmd.exe /c wmic shadowcopy delete
-- "start cmd.exe /c" = ebeveyn process'ten ayrı komut satırı başlatma
-- "wmic shadowcopy delete" = TÜM gölge kopyaları sil
-- Volume Shadow Copies = Windows'un otomatik sistem yedekleri
-- Bu imhadan sonra kurban önceki versiyona dönemez
-- Tipik Dharma öncesi hazırlık: önce sil, sonra şifrele

İletişim E-postası: firemail.cc

FIDYE NOTU: Kurban bu adrese yazacak!
firemail.cc
-- Dharma'nın kurbanlarla iletişim kurduğu e-posta servisi
-- "fire" = acele, yangın (aciliyet hissi)
-- ".cc" = Cocos Islands TLD (ucuz, az denetimli)
-- Dharma: dosya uzantısına ve ransom notuna e-posta adresi gömüyor
-- "[id].[EMAIL].dharma" uzantı formatı kullanıyor

Crypto++ Şifreleme Kütüphanesi

PointerToPrimeSelector     -- RSA asal sayı seçici (Crypto++ iç yapısı)
: this key is too short    -- hata mesajı (minimum anahtar uzunluğu)
PK_Signer: key too short   -- imza şema minimum anahtar hatası
-- Dharma: RSA-1024/2048 + AES-256 çift şifreleme
-- Crypto++ = açık kaynak C++ şifreleme kütüphanesi

IOC

SHA2565671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Yedek Yıkımwmic shadowcopy delete
İletişimfiremail.cc

Dharma — 악성코드 프로필

Dharma ransomware. firemail.cc email iletisim. wmic shadowcopy delete yedek imhasi. Crypto++ RSA+AES. Çok yıllık aktif.

악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
대상 시스템
Windows
다른 이름 (AKA)
Crysis

기술 세부 정보

Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (1 개 지표)

IOC — Dharma
# SHA256 5671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
유형메모
sha256 5671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

C2 서버 (이 패밀리에 대해 2개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
firemail.cc domain 443 HTTPS active —
uncryptfile.com domain 443 HTTPS inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
dharmawmic-shadowcopy-deletebackup-destructionfiremail-cc-contact-emailcryptopp-rsashadow-copy-deletionransomware-contact