Manuel Statik Analiz — Babuk Ransomware | Tehdit: YUKSEK

文件 Kimliği

SHA256624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
大小2.044.928 byte (2MB)
String Sayisi5.076

AES-GCM Kimlik Doğrulamalı Şifreleme

additional authenticated data (AAD) cannot be input after data to be encrypted
-- AES-GCM (Galois/Counter Mode) — kimlik doğrulamalı şifreleme
-- AAD = "Additional Authenticated Data" (ek kimlik doğrulama)
-- AES-GCM ile veriler hem şifrelenir hem imzalanır
-- AAD sayesinde şifreli veri bütünlüğü doğrulanabilir
-- Fidye kodu AES-GCM kullanıyor: fidye anahtar doğrulama mekanizması

Üçlü Anti-Debug

GetTickCount64  -- 64-bit zaman ölçüm
GetTickCount    -- 32-bit zaman ölçüm (eski sistemler)
IsDebuggerPresent -- Windows API debugger tespiti
-- Üçlü tespit: farklı hız/yöntemle debugger varlığını kontrol

IOC

SHA256624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
ŞifrelemeAES-GCM (AAD ile kimlik doğrulamalı)

Babuk2 — 恶意软件档案

Babuk RaaS 2021 Rusya. AES-GCM AAD kimlik dogrulama sifreli. GetTickCount64 uclu anti-debug. Kurban kaynak kodu sizdi.

恶意软件类型
Ransomware
编程语言
C
C2协议
HTTPS
目标系统
Küresel Kurumsal

能力与行为

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC列表 (1 个指标)

IOC — Babuk2
# SHA256 624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
类型备注
sha256 624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
标签
babuk2ransomwareaes-gcm-aadadditional-authenticated-datagettickcpunt64triple-anti-debuggcm-encryption