Manuel Statik Analiz — HelloKitty Ransomware | Tehdit: KRITIK

파일 Kimliği

SHA2568fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
크기488.960 byte
String Sayisi2.489

Tor .onion C2

C2: HelloKitty'nin fidye müzakere/ödeme paneli Tor ağı üzerinden!
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
-- HelloKitty fidye ödeme / müzakere Tor paneli

VSS Shadow Copy Silme (WMI)

Geri Yüklemeyi İmha: WMI üzerinden tüm Windows Volume Shadow Copies silinir — sistem geri yüklenemez!
select * from Win32_ShadowCopy
Win32_ShadowCopy.ID='%s'  -- Her shadow copy ID silinir
avshadow.exe              -- Anti-AV shadow process

VMware ESXi Hedefleme

vmware-converter-a.exe  -- VMware ESXi hypervisor saldırısı
autorun.in, boot.in, desktop.in  -- Boot-level kalıcılık

Anti-Debug

GetTickCount, IsDebuggerPresent  -- Sandbox/debugger tespiti

HelloKitty Hakkında

HelloKitty (DeathRansom/FiveHands), 2020'den beri aktif RaaS ransomware ailesidir. CD Projekt Red saldırısında kullanılarak Cyberpunk 2077 kaynak kodunu çalmıştır. Windows sistemlerin yanı sıra VMware ESXi sunucularını da şifreleyebilir. Fidye ödemeleri için Tor .onion adresi kullanır.

IOC

SHA2568fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
Onion C26x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
Anti-Geri YüklemeWMI Win32_ShadowCopy silme

HelloKitty — 악성코드 프로필

HelloKitty (DeathRansom/FiveHands) RaaS. Tor .onion C2. WMI Win32_ShadowCopy silme. VMware ESXi hedefi. CD Projekt Red.

악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
대상 시스템
Windows/Linux
다른 이름 (AKA)
FiveHands

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (1 개 지표)

IOC — HelloKitty
# SHA256 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
유형메모
sha256 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
태그
hellokittyransomwaretor-onion-c2wmi-shadowcopyvmware-esxiransomware-as-service