Manuel Statik Analiz — LockBit 3.0 (Black) Ransomware | Tehdit: KRITIK

파일 Kimliği

SHA256032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
파일 이름bl3.exe (LockBit 3 = "Black" resmi adlandırması)
크기994.457 byte
String Sayisi4.994

Parola Korumalı Kriptolama

속성: LockBit 3, çalıştırma için şifre gerektiriyor — analisti yanıltmak ve sandboxları bypass etmek için!
&Enter password for the encrypted file:
-- Komut satırı argument olarak şifre gerektiriyor
-- Şifre olmadan çalışmaz → sandbox auto-analizi engeller!
Cannot create folder %s
HChecksum error in the encrypted file

LockBit Hakkında

LockBit, 2019'dan beri aktif dünyanın en büyük RaaS grubudur. LockBit 3.0 (Black), Haziran 2022'de piyasaya çıkmış ve BlackMatter/DarkSide kodundan ilham almıştır. FBI ve EUROPOL'un ortak operasyonlarının hedefi olmuştur. Şifreli çalıştırma özelliği ile sandbox/AV analizini zorlaştırır.

IOC

SHA256032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
İsimbl3.exe (LockBit 3 / Black)
속성Şifreli çalıştırma (sandbox bypass)

LockBit — 악성코드 프로필

LockBit 3.0 (LockBit Black). bl3.exe builder. CryptProtectMemory DPAPI key protection. WinRAR SFX delivery.

악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
대상 시스템
Windows/Linux
다른 이름 (AKA)
LockBit 3.0

기술 세부 정보

C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (1 개 지표)

IOC — LockBit
# SHA256 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
유형메모
sha256 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=62

C2 서버 (이 패밀리에 대해 2개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
35.227.107.189 ip 443 HTTPS sinkholed US
89.185.85.239 ip 443 HTTPS sinkholed NL

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
lockbitlockbit3bl3-exepassword-protectedransomwareraasanti-debug