Genel Bakış
Yashma Ransomware Builder v1.2, Ryuk.Net kaynak koduna dayanan bir fidye yazılımı builder'ıdır. Fidye notu ve şifreli dosya listesi oluşturma, VSS silme ve recovery mode devre dışı bırakma gibi kritik özellikleri içeren bu builder, çalıştırıldığında özelleştirilebilir bir ransomware payload üretmektedir. C2 olarak Medusa grubuyla ilişkili Tor adresi kullanmaktadır.
Teknik Analiz
패밀리 Bağlantısı: Yashma ← Ryuk.Net
Binary içinde Ryuk.Net.Properties.Resources ve Ryuk.Net.extensions namespace'leri tespit edilmiştir. Bu, Yashma'nın Ryuk ransomware C# kodunu forklayarak geliştirildiğini doğrulamaktadır.
C2 ve İletişim
- Medusa Tor:
medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion - Telegram Ödeme Desteği:
https://t.me/RansomwareSupportBot - Tor İndir:
https://www.torproject.org/download/(fidye notunda)
Geliştirici Parmak İzi
- PDB:
c:\Users\User\Desktop\v7\Decrypter\decrypter\obj\Debug\Yashma decrypter.pdb - PDB:
C:\Users\dongmin.liu\Downloads\files\src\4\obj\Debug\Yashma ransomware builder v1.2.pdb - Geliştirici adı dongmin.liu — muhtemelen Çin kökenli tehdit aktörü
Şifreleme
- RSA + AES şifreleme:
RSACryptoServiceProvider,GetKeyString,get_encryptOption - 100'den fazla dosya uzantısı hedeflenmektedir (.doc, .xls, .pdf, .jpg, .sql, .wallet, .vmdk...)
Anti-Kurtarma
deleteShadowCopiesCheckbox_CheckedChanged→ VSS gölge kopyaları silmedisableRecoveryModeCheckbox_CheckedChanged→ Windows recovery devre dışıget_disableRecoveryMode/set_disableRecoveryMode
Builder Yapısı
Bu örnek builder uygulamasıdır, payload değildir. İçinde decrypter ve builder UI bileşenleri bulunmaktadır: deleteShadowCopiesCheckbox, disableRecoveryModeCheckbox, extensions_Load, SleepTextBox. Builder çalıştırıldığında özelleştirilmiş ransomware üretilmektedir.
Teknik 속성ler
| 속성 | 값 |
|---|---|
| Platform | .NET Mono v4.0.30319 |
| 유형 | Ransomware Builder (GUI) |
| Şifreleme | RSA + AES |
| Tor C2 | medusaxko7j...cyd.onion |
| Temel | Ryuk.Net (fork) |
IOC Özeti
- Tor C2:
medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion - Telegram:
https://t.me/RansomwareSupportBot - Geliştirici: dongmin.liu
- SHA256:
d174cf908b7bcee10cc0458955554e5ba81beffd8544ae95a427fff643a41c86
IOC 목록 (3 개 지표)
# SHA256
d174cf908b7bcee10cc0458955554e5ba81beffd8544ae95a427fff643a41c86
# DOMAIN
medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion
# URL
https://t.me/RansomwareSupportBot
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | d174cf908b7bcee10cc0458955554e5ba81beffd8544ae95a427fff643a41c86 | |
| domain | medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion | |
| url | https://t.me/RansomwareSupportBot |
C2 서버 (이 패밀리에 대해 1개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion | domain | 443 | custom | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.