Manuel Statik Analiz — Babuk Ransomware | Tehdit: YUKSEK
Файл Kimliği
| SHA256 | 5874159ac61ab034422400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Имя файла | mmd khr.exe (boşluklu isim — analiz araçlarını zorluyor) |
| Размер | 422.400 byte |
| String Sayisi | 2.355 |
Telegram Müzakere Kanalı
Taktik: Babuk, geleneksel Tor portalı yerine Telegram üzerinden müzakere yapıyor!
"Write the Chat_ID in the email subject." "Chat_ID = %s" -- Her kurban için benzersiz Telegram Chat ID üretiliyor -- Email konusuna Chat_ID yazarak iletişim kuruluyor -- Telegram = anonim, şifreli, takip edilmesi zor kanal
Fidye Notu
!!! Your files have been encrypted !!! Before paying you can send 2-3 files less than...
Babuk Hakkında
Babuk, 2021'de Washington DC Polis Departmanı'nı hedef almasıyla tanınan RaaS grubudur. Kaynak kodu 2021'de sızdırıldı ve onlarca spin-off (ESXiArgs, RTM Locker, vb.) ortaya çıktı. VMware ESXi hedefleyen ilk fidye yazılımlarından biridir.
IOC
| SHA256 | 5874159ac61ab034422400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Müzakere | Telegram Chat_ID (email yoluyla) |
BabukRansom — Профиль вредоносного ПО
Babuk 2021 DC Polisi saldirisi. ESXi hedef. Kaynak kodu sizdirma → spin-off. Telegram muzakere.
Тип вредоносного ПО
Ransomware
Язык программирования
C
C2 Протокол
Telegram/Email
Целевые системы
Kuresel Kurumsal/Kamu
Возможности и поведение
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
Список IOC (1 индикаторов)
IOC — BabukRansom
# SHA256
5874159ac61ab034422400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | 5874159ac61ab034422400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=62 |