Manuel Statik Analiz — Dharma Ransomware (Crysis 家族si) | Tehdit: YUKSEK
文件 Kimliği
| SHA256 | 5671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| 大小 | 1.095.680 byte |
| String Sayisi | 5.092 |
Fidye İletişim ve Ödeme Altyapısı
firemail.cc -- .cc = Cocos Adaları TLD (az bilinen)
-- Anonim email servisi üzerinden kurban iletişimi
uncryptfile.com -- Dharma'nın kendi şifre çözme servisi!
-- "Dosyanızı buradan çözebilirsiniz" tuzağı
https://localbitcoins.com/buy_bitcoins -- Bitcoin satın alma rehberi
http://www.coindesk.com/information/how-can-i- -- Bitcoin bilgi
Bitcoin Cüzdanlar
13bpPxtiX48ccfV6ampj4kpfz3wLuvtp1lW 13URQhAKhdqlxZUgBBiGwHEsbLuGaWpkMhk
Dharma Hakkında
Dharma (Crysis varyantı), 2016'dan beri aktif olan RaaS fidye yazılımıdır. RDP brute force ile giriş yapar, AES-256 + RSA-1024 ile şifreler. firemail.cc üzerinden kurban iletişimi sağlar. 2020'de kaynak kodu sızdı ve birçok varyant ortaya çıktı. Küçük/orta işletmeleri hedefler.
IOC
| SHA256 | 5671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Email C2 | firemail.cc (.cc Cocos Islands) |
| Servis | uncryptfile.com |
| BTC | 13bpPxtiX48ccfV6ampj4kpfz3wLuvtp1lW |
| BTC | 13URQhAKhdqlxZUgBBiGwHEsbLuGaWpkMhk |
Dharma — 恶意软件档案
Dharma ransomware. firemail.cc email iletisim. wmic shadowcopy delete yedek imhasi. Crypto++ RSA+AES. Çok yıllık aktif.
恶意软件类型
Ransomware
编程语言
C++
C2协议
—
目标系统
Windows
别名 (AKA)
Crysis
技术细节
Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma
能力与行为
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC列表 (4 个指标)
IOC — Dharma
# DOMAIN
firemail.cc
# DOMAIN
uncryptfile.com
# DOMAIN
localbitcoins.com
# DOMAIN
coindesk.com
| 类型 | 值 | 备注 |
|---|---|---|
| domain | firemail.cc | |
| domain | uncryptfile.com | |
| domain | localbitcoins.com | |
| domain | coindesk.com |
C2服务器 (该家族共有 2 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| firemail.cc | domain | 443 | HTTPS | active | — |
| uncryptfile.com | domain | 443 | HTTPS | inactive | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。