Manuel Statik Analiz — Dharma Ransomware | Tehdit: КРИТИЧЕСКИЙ

Файл Kimliği

SHA2565671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Размер1.095.680 byte (1MB)
String Sayisi5.092

Fidye Ödeme İletişim Kanalı

Aktif Fidye Email: decoder@firemail.cc!
decoder@firemail.cc
-- Dharma gizli email servisi firemail.cc kullanıyor
-- firemail.cc = anonimleştirilmiş geçici email servisi
-- "decoder" = şifre çözücü rolünü vurgulayan takma ad
-- Kurban bu adrese benzersiz ID göndererek şifre alıyor
-- Firemail.cc hesabı AV/LEA takibinden zor tespit edilir

BTC Fidye Cüzdanları

13bpPxtiX48ccfV6ampj4kpfz3wLuvtp1lW
13URQhAKhdqlxZUgBBiGwHEsbLuGaWpkMhk
16B36iaXXDRde...
-- Birden fazla Bitcoin cüzdanı: farklı kurban grupları veya operatörler
-- "13" prefix: SegWit olmayan (P2PKH) Bitcoin adresi
-- Yüksek değerli transfer alıyorsa blockchain'de izlenebilir

Kalıcılık Mekanizmaları

schtasks /CREATE /SC ONLOGON /...
-- Her kullanıcı girişinde çalışır: SC ONLOGON (scheduled task)
-- Her sistem açılışında yeniden şifreleme/kontrol

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
-- Registry Policies key'i: kullanıcı politika değişiklikleri
-- Explorer engellemeleri veya güvenlik politikası değişikliği

Dharma/CrySiS Hakkında

Dharma (CrySiS) 2016'da Rusya kaynaklı RaaS'tır. Kaynak kodu 2016'da sızdı, onlarca varyant ortaya çıktı. Phobos (batch 49) da Dharma fork'udur. 850+ uzantı varyantı mevcuttur: .dharma, .cezar, .java, .combo, .arrow, .bip, .betta. RDP brute force ile yayılır.

IOC

SHA2565671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Emaildecoder@firemail.cc
BTC 113bpPxtiX48ccfV6ampj4kpfz3wLuvtp1lW
BTC 213URQhAKhdqlxZUgBBiGwHEsbLuGaWpkMhk
Kalıcılıkschtasks /CREATE /SC ONLOGON + Registry Policies

Dharma — Профиль вредоносного ПО

Dharma ransomware. firemail.cc email iletisim. wmic shadowcopy delete yedek imhasi. Crypto++ RSA+AES. Çok yıllık aktif.

Тип вредоносного ПО
Ransomware
Язык программирования
C++
C2 Протокол
Целевые системы
Windows
Другие названия (AKA)
Crysis

Технические детали

Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma

Возможности и поведение

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Список IOC (3 индикаторов)

IOC — Dharma
# 13bpPxtiX48ccfV6ampj4kpfz3wLuvtp1lW # 13URQhAKhdqlxZUgBBiGwHEsbLuGaWpkMhk # EMAIL decoder@firemail.cc
ТипЗначениеПримечание
13bpPxtiX48ccfV6ampj4kpfz3wLuvtp1lW
13URQhAKhdqlxZUgBBiGwHEsbLuGaWpkMhk
email decoder@firemail.cc

C2 Серверы (2 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
firemail.cc domain 443 HTTPS active —
uncryptfile.com domain 443 HTTPS inactive —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
dharma-ransomwaredecoder-firemail-ccransom-email-firemailbtc-wallet-13bpPxtiX48schtasks-onlogon-persistenceregistry-run-key