Manuel Statik Analiz — HelloKitty Ransomware | Tehdit: KRITIK

文件 Kimliği

SHA2568fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
大小488.960 byte
String Sayisi2.489

Tor .onion C2

C2: HelloKitty'nin fidye müzakere/ödeme paneli Tor ağı üzerinden!
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
-- HelloKitty fidye ödeme / müzakere Tor paneli

VSS Shadow Copy Silme (WMI)

Geri Yüklemeyi İmha: WMI üzerinden tüm Windows Volume Shadow Copies silinir — sistem geri yüklenemez!
select * from Win32_ShadowCopy
Win32_ShadowCopy.ID='%s'  -- Her shadow copy ID silinir
avshadow.exe              -- Anti-AV shadow process

VMware ESXi Hedefleme

vmware-converter-a.exe  -- VMware ESXi hypervisor saldırısı
autorun.in, boot.in, desktop.in  -- Boot-level kalıcılık

Anti-Debug

GetTickCount, IsDebuggerPresent  -- Sandbox/debugger tespiti

HelloKitty Hakkında

HelloKitty (DeathRansom/FiveHands), 2020'den beri aktif RaaS ransomware ailesidir. CD Projekt Red saldırısında kullanılarak Cyberpunk 2077 kaynak kodunu çalmıştır. Windows sistemlerin yanı sıra VMware ESXi sunucularını da şifreleyebilir. Fidye ödemeleri için Tor .onion adresi kullanır.

IOC

SHA2568fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
Onion C26x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
Anti-Geri YüklemeWMI Win32_ShadowCopy silme

HelloKitty — 恶意软件档案

HelloKitty (DeathRansom/FiveHands) RaaS. Tor .onion C2. WMI Win32_ShadowCopy silme. VMware ESXi hedefi. CD Projekt Red.

恶意软件类型
Ransomware
编程语言
C++
C2协议
目标系统
Windows/Linux
别名 (AKA)
FiveHands

能力与行为

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC列表 (1 个指标)

IOC — HelloKitty
# SHA256 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
类型备注
sha256 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
标签
hellokittyransomwaretor-onion-c2wmi-shadowcopyvmware-esxiransomware-as-service