Manuel Statik Analiz — Dharma Ransomware | Tehdit: 严重
文件 Kimliği
| SHA256 | 5671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| 大小 | 1.095.680 byte (1.1MB) |
| String Sayisi | 5.092 |
Yedek İmhası: wmic shadowcopy delete
严重: Windows Volume Shadow Copies siliniyor!
start cmd.exe /c wmic shadowcopy delete -- "start cmd.exe /c" = ebeveyn process'ten ayrı komut satırı başlatma -- "wmic shadowcopy delete" = TÜM gölge kopyaları sil -- Volume Shadow Copies = Windows'un otomatik sistem yedekleri -- Bu imhadan sonra kurban önceki versiyona dönemez -- Tipik Dharma öncesi hazırlık: önce sil, sonra şifrele
İletişim E-postası: firemail.cc
FIDYE NOTU: Kurban bu adrese yazacak!
firemail.cc -- Dharma'nın kurbanlarla iletişim kurduğu e-posta servisi -- "fire" = acele, yangın (aciliyet hissi) -- ".cc" = Cocos Islands TLD (ucuz, az denetimli) -- Dharma: dosya uzantısına ve ransom notuna e-posta adresi gömüyor -- "[id].[EMAIL].dharma" uzantı formatı kullanıyor
Crypto++ Şifreleme Kütüphanesi
PointerToPrimeSelector -- RSA asal sayı seçici (Crypto++ iç yapısı) : this key is too short -- hata mesajı (minimum anahtar uzunluğu) PK_Signer: key too short -- imza şema minimum anahtar hatası -- Dharma: RSA-1024/2048 + AES-256 çift şifreleme -- Crypto++ = açık kaynak C++ şifreleme kütüphanesi
IOC
| SHA256 | 5671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Yedek Yıkım | wmic shadowcopy delete |
| İletişim | firemail.cc |
Dharma — 恶意软件档案
Dharma ransomware. firemail.cc email iletisim. wmic shadowcopy delete yedek imhasi. Crypto++ RSA+AES. Çok yıllık aktif.
恶意软件类型
Ransomware
编程语言
C++
C2协议
—
目标系统
Windows
别名 (AKA)
Crysis
技术细节
Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma
能力与行为
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC列表 (1 个指标)
IOC — Dharma
# SHA256
5671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | 5671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
C2服务器 (该家族共有 2 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| firemail.cc | domain | 443 | HTTPS | active | — |
| uncryptfile.com | domain | 443 | HTTPS | inactive | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。