Manuel Statik Analiz — Maze Ransomware | Tehdit: 심각

파일 Kimliği

SHA2564263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
크기920.552 byte (899KB)
String Sayisi3.993

EncryptionDisable: EFS Devre Dışı

EFS DEVRE DIŞI: Windows dosya sistemi şifreleme kaldırılıyor!
EncryptionDisable (advapi32.dll)
-- EFS = Encrypting File System (Windows yerleşik dosya şifreleme)
-- EFS etkin dosyalar: Maze'in kendi şifresi ile şifreleyemez!
-- Çözüm: önce EncryptionDisable → EFS'i kaldır → sonra Maze ile şifrele
-- Kurban: hem EFS korumasını hem de dosyalarını kaybeder
-- Maze'in benzersiz tekniği: dosya korumasını kendi şifrelemeden önce kaldırır

WinCrypt API Tam Suite

CryptGenKey       -- Şifreleme anahtarı üret
CryptExportKey    -- Anahtarı dışa aktar (şifreli kap)
CryptEncrypt      -- Veri şifrele
CryptDecrypt      -- Veri çöz (test amaçlı)
CryptDestroyKey   -- Anahtarı bellekten sil
-- Maze: RSA ile AES anahtarını şifreler → CryptExportKey ile depolar
-- Kurban anahtarı: Maze'in RSA private key'i olmadan açılamaz

NtQueryEaFile: EA Sorgusu

NtQueryEaFile (ntdll.dll)
-- Extended Attributes = NTFS dosya meta verileri
-- Maze: EA kontrolü ile zaten işaretlenmiş dosyaları atlar
-- Çifte şifreleme önleme mekanizması

IOC

SHA2564263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TeknikEncryptionDisable + WinCrypt tam suite

Maze — 악성코드 프로필

Maze ransomware. EFS EncryptionDisable. WinCrypt tam suite. NtQueryEaFile EA sorgusu. 2019-2020 aktif. Çifte gasp öncü.

악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
HTTPS
대상 시스템
Kurumsal

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (1 개 지표)

IOC — Maze
# SHA256 4263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
유형메모
sha256 4263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
태그
mazeencryptiondisable-efs-disablecryptgenkey-wincryptcryptexportkeycryptencryptcryptdecryptwincrypt-full-suitentqueryeafile