Manuel Statik Analiz — ALPHV/BlackCat Ransomware | Tehdit: КРИТИЧЕСКИЙ
Файл Kimliği
| SHA256 | 7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Размер | 3.005.440 byte (2.9MB) |
| String Sayisi | 5.003 |
Tor Onion C2: Müzakere Portalı
C2 TESPİT: ALPHV'nin Tor üzerindeki kurban portalı!
http://2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion/ -- 2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid = 52 char v3 onion -- ALPHV'nin kurban müzakere sitesi (fidye pazarlık portalı) -- Tor browser'da erişilebilir -- Kurban: bu URL'e gidip saldırganla iletişime geçiyor
VM Tespiti: wmic csproduct get UUID
ANTİ-VM: BIOS UUID ile sanallaştırma tespiti!
wmic csproduct get UUID -- "csproduct" = ComputerSystem Product -- UUID = Evrensel Benzersiz Tanımlayıcı -- VM'lerde UUID genellikle sabitlenmiş: "564D..." (VMware), "0000-0000..." (VirtualBox) -- ALPHV: UUID'ye bakarak VM mi fiziksel mi belirliyor -- VM tespitinde çalışmayı durdurabilir veya yavaşlatabilir
Node.js Gömülü Runtime
Node.js API crypto.randomFillSync is unavailable Node.js crypto module is unavailable -- ALPHV bazı varyantları Node.js runtime içeriyor -- crypto.randomFillSync = CSPRNG (güvenli rasgele sayı üreteci) -- Node.js yok → alternatif entropi kaynağı kullanıyor -- Hibrit yaklaşım: Rust core + Node.js scripting katmanı
Konfigürasyon Yapısı
_directory_namesexclude_director_file_extensionsexclude_file_extault_file_cipher -- Birleştirilmiş JSON field adları (config struct içinden): -- "directory_names" → şifrelenecek/atlanacak klasörler -- "exclude_directory" → atlanacak klasörler (Windows\, System32\...) -- "file_extensions" → hedef dosya uzantıları -- "exclude_file_ext" → atlanacak uzantılar (.exe .dll .sys...) -- "default_file_cipher" → varsayılan şifreleme algoritması (AES-128 CTR?) -- ALPHV yapılandırma tam özelleştirilebilir RaaS modeli
IOC
| SHA256 | 7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Onion C2 | 2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion |
| VM Tespit | wmic csproduct get UUID |
ALPHV — Профиль вредоносного ПО
ALPHV BlackCat Rust tabanli RaaS. Tor onion muzakere. wmic csproduct UUID VM tespit. Node.js gomulu runtime. JSON konfigürasyon.
Тип вредоносного ПО
Ransomware
Язык программирования
Rust
C2 Протокол
HTTPS/TOR
Целевые системы
Kurumsal/Saglik
Возможности и поведение
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
Список IOC (1 индикаторов)
IOC — ALPHV
# SHA256
7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | 7e363b5f1ba373783005440b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |