Manuel Statik Analiz — Yashma/Chaos Ransomware | Tehdit: KRITIK
파일 Kimliği
| SHA256 | 3ea6df18492d2181289280b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5 |
|---|---|
| 파일 이름 | svchost.exe (Windows Servis Host süreci taklidi!) |
| 크기 | 289.280 byte |
| String Sayisi | 513 |
Ransomware Builder Config Alanları
encryptionAesRsa -- AES+RSA çift katman şifreleme encryptedFileExtension -- Şifrelenmiş dosya uzantısı ayarı checkdeleteShadowCopies -- Shadow Copy silme seçeneği .wallet -- Kripto cüzdan dosyaları hedefi
Bitcoin Cüzdanı
1163hSV1jJOVB4PFZesBjq9wFyW8w4x9a -- Fidye ödeme BTC adresi
Yashma/Chaos Hakkında
Yashma, Chaos ransomware builder'ın evrimleşmiş versiyonudur. .NET dilinde yazılmıştır ve GitHub'da kaynak kodu sızdırılmıştır. AES-256 ve RSA-2048 kullanır. MedusaLocker ile aynı builder'dan çıkan varyantlar mevcuttur. Düşük giriş maliyetiyle amatör siber suçlular tarafından da kullanılabilmektedir.
IOC
| SHA256 | 3ea6df18492d2181289280b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5 |
|---|---|
| Kamuflaj | svchost.exe |
| BTC | 1163hSV1jJOVB4PFZesBjq9wFyW8w4x9a |
YashmaRansom — 악성코드 프로필
Yashma/Chaos ransomware. Acik kaynak builder. svchost.exe disguise. AES-256+RSA-2048. .wallet dosya hedefi.
악성코드 유형
Ransomware
프로그래밍 언어
C#/.NET
C2 프로토콜
HTTPS
대상 시스템
Kuresel
기능 및 동작
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC 목록 (1 개 지표)
IOC — YashmaRansom
# SHA256
3ea6df18492d2181289280b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 3ea6df18492d2181289280b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5 |