Derin PE Analizi — TorRansomware | Tehdit: KRITIK
파일 Kimligi
| SHA256 | 67a78b39e760e3460a135a7e4fa096ab6ce6b013658103890c866d9401928ba5 |
|---|---|
| 크기 | 1,261,752 byte |
| Derleyici | GCC 7.3-win32 MinGW-w64, 17 sections |
Tor C2: xri65fopcxkdfxhi4tidsg7cad.onion
xri65fopcxkdfxhi4tidsg7cad.onion -- Tor Hidden Service C2\nFidye odeme ve anahtar teslimi Onion aginda\nKurban Tor Browser ile sitenin acmali\nOperatorun kimligi gizli, sunucu yeri bilinemez
Kurban Secret Key
"with your secret key 6F2PQ14O2POZ1JB5PSD65HUJP19Y9DU1"\nRSA sifreleme: rsa_encrypt_key, rsa_encrypt_IV\nKurban bu key ile odeme yapar, operatorden decrypt key alir
Duvar Kagidi Hijack (Registry)
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop -> NoChangingWallPaper = 1\nHKLM\Policies\System -> Wallpaper = C:\Users\Public\bg.jpg\nKullanici degistiremez (NoChangingWallPaper=1)
SetThreadContext Enjeksiyon
SetThreadContext x3 referans -- process hollowing\nFPU anti-disassembly, TLS callback (1 func)
IOC
| SHA256 | 67a78b39e760e3460a135a7e4fa096ab6ce6b013658103890c866d9401928ba5 |
|---|---|
| Tor C2 | xri65fopcxkdfxhi4tidsg7cad.onion |
| Kurban Key | 6F2PQ14O2POZ1JB5PSD65HUJP19Y9DU1 |
| Fidye BG | C:\Users\Public\bg.jpg |
TorRansomware — 악성코드 프로필
Tor .onion network kullanan C/C++ (GCC MinGW) ransomware. xri65fopcxkdfxhi4tidsg7cad.onion Tor C2. Kurban secret key: 6F2PQ14O2POZ1JB5PSD65HUJP19Y9DU1. RSA-encrypted file keys. Wallpaper hijack (C:\Users\Public\bg.jpg + NoChangingWallPaper=1). SetThreadContext process injection. 17 section obfuscation.
악성코드 유형
Ransomware
프로그래밍 언어
C (GCC MinGW)
C2 프로토콜
Tor/.onion
대상 시스템
Küresel
기능 및 동작
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC 목록 (1 개 지표)
IOC — TorRansomware
# SHA256
67a78b39e760e3460a135a7e4fa096ab6ce6b013658103890c866d9401928ba5
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 67a78b39e760e3460a135a7e4fa096ab6ce6b013658103890c866d9401928ba5 |
C2 서버 (이 패밀리에 대해 1개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| xri65fopcxkdfxhi4tidsg7cad.onion | domain | 80 | custom | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.