Manuel Statik Analiz — HelloKitty Ransomware | Tehdit: KRITIK
파일 Kimliği
| SHA256 | 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2 |
|---|---|
| 크기 | 488.960 byte |
| String Sayisi | 2.489 |
Tor .onion C2
C2: HelloKitty'nin fidye müzakere/ödeme paneli Tor ağı üzerinden!
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion -- HelloKitty fidye ödeme / müzakere Tor paneli
VSS Shadow Copy Silme (WMI)
Geri Yüklemeyi İmha: WMI üzerinden tüm Windows Volume Shadow Copies silinir — sistem geri yüklenemez!
select * from Win32_ShadowCopy Win32_ShadowCopy.ID='%s' -- Her shadow copy ID silinir avshadow.exe -- Anti-AV shadow process
VMware ESXi Hedefleme
vmware-converter-a.exe -- VMware ESXi hypervisor saldırısı autorun.in, boot.in, desktop.in -- Boot-level kalıcılık
Anti-Debug
GetTickCount, IsDebuggerPresent -- Sandbox/debugger tespiti
HelloKitty Hakkında
HelloKitty (DeathRansom/FiveHands), 2020'den beri aktif RaaS ransomware ailesidir. CD Projekt Red saldırısında kullanılarak Cyberpunk 2077 kaynak kodunu çalmıştır. Windows sistemlerin yanı sıra VMware ESXi sunucularını da şifreleyebilir. Fidye ödemeleri için Tor .onion adresi kullanır.
IOC
| SHA256 | 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2 |
|---|---|
| Onion C2 | 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion |
| Anti-Geri Yükleme | WMI Win32_ShadowCopy silme |
HelloKitty — 악성코드 프로필
HelloKitty (DeathRansom/FiveHands) RaaS. Tor .onion C2. WMI Win32_ShadowCopy silme. VMware ESXi hedefi. CD Projekt Red.
악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
—
대상 시스템
Windows/Linux
다른 이름 (AKA)
FiveHands
기능 및 동작
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC 목록 (1 개 지표)
IOC — HelloKitty
# SHA256
8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2 |