Manuel Statik Analiz — HiddenTear Ransomware | Tehdit: YUKSEK

Файл Kimliği

SHA256f8d907099731ba44937984b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Имя файлаFlatWare.exe ("FlatChestWare" projesinin gizlenmiş adı)
Размер937.984 byte (916KB)
String Sayisi4.999

endyou.xn--6frz82g: Japonca Punycode C2!

C2 TESPİT: Uluslararası Punycode alan adı C2!
http://www.endyou.xn--6frz82g/listen/listen.php
-- "xn--6frz82g" = Punycode kodlu Japonca TLD
-- xn--6frz82g = 旅 (Japonca: "yolculuk/seyahat")
-- "endyou" = "seni bitir" (İngilizce: end + you)
-- "endyou.[旅]" = Japonca TLD'li İngilizce isim
-- "/listen/listen.php" = C2 endpoint (dinle)
-- Punycode gizleme: ASCII görünümlü ama gerçek karakter farklı

Geliştirici PDB: "Loli" Kullanıcısı

GELİŞTİRİCİ KİMLİĞİ:
C:\Users\Loli\Documents\Visual Studio 2015\Projects\FlatChestWare\obj\Release
-- Kullanıcı adı: "Loli"
-- VS 2015 ile geliştirilmiş
-- Proje adı: "FlatChestWare" (FlatWare.exe olarak dağıtılmış)
-- HiddenTear: GitHub'da yayınlanan açık kaynak ransomware (2015)
-- "FlatChestWare" = HiddenTear türevi, kendi versiyonu

AES Şifreleme Zinciri

encryptAES           -- AES ile dosya şifrele
bytesToBeEncrypted   -- şifrelenecek byte dizisi
SendPassword         -- şifreleme şifresini C2'ye gönder!
CreatePassword       -- şifreleme şifresi üret
-- Süreç: CreatePassword → şifre oluştur → AES ile şifrele → SendPassword → C2'ye gönder
-- Kurban dosyaları şifrelendikten sonra şifre C2'de
-- HiddenTear'ın zayıflığı: eski versiyonlarda şifre sabit/tahmin edilebilir

IOC

SHA256f8d907099731ba44937984b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
C2 URLhttp://www.endyou.xn--6frz82g/listen/listen.php
PDBC:\Users\Loli\...\FlatChestWare\obj\Release

HiddenTear — Профиль вредоносного ПО

HiddenTear açık kaynak ransomware. FlatChestWare türevi. Loli kullanıcısı. encryptAES SendPassword CreatePassword. Punycode C2.

Тип вредоносного ПО
Ransomware
Язык программирования
C#/.NET
C2 Протокол
HTTP
Целевые системы
Küresel

Возможности и поведение

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Список IOC (1 индикаторов)

IOC — HiddenTear
# SHA256 f8d907099731ba44937984b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
ТипЗначениеПримечание
sha256 f8d907099731ba44937984b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0

C2 Серверы (1 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
endyou.xn--6frz82g domain 80 HTTP inactive —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
hiddentearendyou-xn-6frz82g-punycode-c2japanese-idn-domainflatware-exe-disguiseloli-username-pdbflatchestware-projectencryptaes-bytestobeencryptedsendpassword-createpassword