Manuel Statik Analiz — ALPHV/BlackCat Ransomware | Tehdit: КРИТИЧЕСКИЙ

Файл Kimliği

SHA2567e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Размер3.005.440 byte (2.9MB)
String Sayisi5.003

Tor Onion C2: Müzakere Portalı

C2 TESPİT: ALPHV'nin Tor üzerindeki kurban portalı!
http://2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion/
-- 2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid = 52 char v3 onion
-- ALPHV'nin kurban müzakere sitesi (fidye pazarlık portalı)
-- Tor browser'da erişilebilir
-- Kurban: bu URL'e gidip saldırganla iletişime geçiyor

VM Tespiti: wmic csproduct get UUID

ANTİ-VM: BIOS UUID ile sanallaştırma tespiti!
wmic csproduct get UUID
-- "csproduct" = ComputerSystem Product
-- UUID = Evrensel Benzersiz Tanımlayıcı
-- VM'lerde UUID genellikle sabitlenmiş: "564D..." (VMware), "0000-0000..." (VirtualBox)
-- ALPHV: UUID'ye bakarak VM mi fiziksel mi belirliyor
-- VM tespitinde çalışmayı durdurabilir veya yavaşlatabilir

Node.js Gömülü Runtime

Node.js API crypto.randomFillSync is unavailable
Node.js crypto module is unavailable
-- ALPHV bazı varyantları Node.js runtime içeriyor
-- crypto.randomFillSync = CSPRNG (güvenli rasgele sayı üreteci)
-- Node.js yok → alternatif entropi kaynağı kullanıyor
-- Hibrit yaklaşım: Rust core + Node.js scripting katmanı

Konfigürasyon Yapısı

_directory_namesexclude_director_file_extensionsexclude_file_extault_file_cipher
-- Birleştirilmiş JSON field adları (config struct içinden):
-- "directory_names"         → şifrelenecek/atlanacak klasörler
-- "exclude_directory"       → atlanacak klasörler (Windows\, System32\...)
-- "file_extensions"         → hedef dosya uzantıları
-- "exclude_file_ext"        → atlanacak uzantılar (.exe .dll .sys...)
-- "default_file_cipher"     → varsayılan şifreleme algoritması (AES-128 CTR?)
-- ALPHV yapılandırma tam özelleştirilebilir RaaS modeli

IOC

SHA2567e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Onion C22cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion
VM Tespitwmic csproduct get UUID

ALPHV — Профиль вредоносного ПО

ALPHV BlackCat Rust tabanli RaaS. Tor onion muzakere. wmic csproduct UUID VM tespit. Node.js gomulu runtime. JSON konfigürasyon.

Тип вредоносного ПО
Ransomware
Язык программирования
Rust
C2 Протокол
HTTPS/TOR
Целевые системы
Kurumsal/Saglik

Возможности и поведение

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Список IOC (1 индикаторов)

IOC — ALPHV
# SHA256 7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
ТипЗначениеПримечание
sha256 7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Теги
alphvblackcat2cuqgeerjdba-onion-c2wmic-csproduct-uuid-vm-detectnodejs-embedded-runtimeconfig-structure-exposedexclude-file-extensionsdefault-cipher