Genel Bakış

B.crypted Ransomware, gelişmiş bir fidye yazılımıdır. 文件ları .B.crypted uzantısıyla şifreleyerek Tor anonimlik ağı üzerinden ödeme talep eder. WMI kullanarak gölge kopyaları silen bu malware; özellikle Webroot, COMODO ve diğer güvenlik ürünlerini hedef alarak önce güvenlik süreçlerini sonlandırır, ardından şifrelemeye başlar.

Teknik Analiz

Tor C2 Altyapısı

  • C2 Adresi: 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
  • Ödeme/anahtar alımı Tor ağı üzerinden yapılmaktadır

Fidye Mesajı

"Your files have been encrypted."

"Content of your files have been modified. Without special key you can't undo that operation."

"We will give you special decryption program and instructions."

WMI ile Shadow Copy Silme

Standart vssadmin delete shadows komutu yerine WMI doğrudan kullanılmaktadır — bu yöntem bazı güvenlik araçları tarafından daha az tespit edilir:

select * from Win32_ShadowCopy
Win32_ShadowCopy.ID='%s'  → her kopyayı tek tek siler
  • ShadowProtectSvc — ShadowProtect yedekleme servisini durdurur
  • avshadow.exe — Webroot gölge kopya ajanını sonlandırır

置信度lik Ürünü Kill Listesi

Şifrelemeden önce şu güvenlik süreçleri sonlandırılmaktadır:

SüreçÜrün
wrsa.exe / wrsa*Webroot SecureAnywhere Antivirus
avgrsa.exeAVG/Webroot entegrasyon ajanı
aesecurityservice.exeWebroot AES Security Service
avshadow.exeWebroot Shadow Copy Agent
cmdagent.exeCOMODO Internet Security
winvnc4.exe / WinVNC4UltraVNC uzak masaüstü
csinject.exeCrowdStrike Injection Module
prgateway.exeParallels Remote Application Server
prftpengine.exeParallels FTP Engine
bdredline.exeBitdefender RedLine Component
isntsmtp.exeSymantec SMTP Scanner
pxemtftp.exePXE TFTP Server (yedekleme altyapısı)
zoolz.exe / Zoolz 2 ServiceZoolz Cloud Backup
zonealarm.exeZoneAlarm Firewall
zlclient.exeZoneAlarm Client

PE Yapısı

  • 文件 Entropi: 2.67 (düşük — minimal obfüskasyon)
  • .shell bölümü (standart olmayan section adı)
  • TLS Directory mevcut (anti-debug potansiyeli)
  • Zero/invalid timestamp

Teknik 属性ler

属性
Uzantı.B.crypted
C2Tor onion (6x7dp6h3...)
VSS SilmeWMI Win32_ShadowCopy (vssadmin kullanmaz)
置信度lik KillWebroot, COMODO, ZoneAlarm, Bitdefender, CrowdStrike
架构PE32 x86

IOC Özeti

  • Tor C2: 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
  • Uzantı: .B.crypted
  • SHA256: 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2

IOC列表 (2 个指标)

IOC — B.crypted Ransomware
# SHA256 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2 # DOMAIN 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
类型备注
sha256 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
domain 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion

C2服务器 (该家族共有 1 台已记录服务器)

地址 类型 端口 协议 状态 国家
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion domain 443 custom inactive —

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
ransomwarebcryptedtoronionwmishadow-copywebrootcomodocrowdstrikezonealarmbitdefendervsskill-list