Manuel Statik Analiz — NotPetya (ExPetr) | Tehdit: KRITIK

Файл Kimliği

SHA25663545fa195488ff5399360b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Имя файлаNotPetya.exe
Размер399.360 byte
String Sayisi2.337

Geliştirici PDB Kanıtı

C:\Users\PC\documents\visual studio 2010\Projects\NotPetya\Release\NotPetya.pdb
-- Kullanıcı: "PC" (generic ama developer makinesi teyit)
-- IDE: Visual Studio 2010 (eski nesil, imza izlemeyi zorlaştırır)
-- Proje: "NotPetya" (operatörler kendi isimlerini koymuş!)
-- Derleme: Release (üretim/operasyon derlemesi)

Fidye İletişim ve BTC

posteo.net  -- Alman anonim email servisi
            -- wowsmith123456@posteo.net (tarihi NotPetya email adresi)
            -- Posteo hesabı saldırı sonrası kapatıldı

1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX  -- TEK NotPetya BTC adresi!
-- Tüm kurbanlara aynı adres → gerçek fidye toplama değil!
-- Bu WIPER'in kanıtı: para maksatlı değil, imha için
-- Bu adrese ~$10,000 USD geldi; kullanılmadı

Ransom Note

Ooops, your important files are encrypted.

NotPetya Hakkında

NotPetya (ExPetr, Petya.A), 27 Haziran 2017'de Ukrayna'yı hedef alan ve tarihin en yıkıcı siber saldırısı olan wiper'dır. Şifreliyor ama kurtarma imkanı yok (fake ransomware). EternalBlue + Mimikatz credential harvesting ile yayılır. Rusya GRU'nun Sandworm grubu. Maersk, Merck, FedEx, Mondelez başta 10+ milyar USD hasar.

IOC

SHA25663545fa195488ff5399360b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Emailposteo.net (anonim Alman email)
BTC1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX (tarihi tek adres)

NotPetya — Профиль вредоносного ПО

NotPetya/ExPetr Sandworm GRU 2017. Ukrayna hedef. EternalBlue+Mimikatz yayilma. Wiper (sahte ransom). 10B+ USD hasar.

Тип вредоносного ПО
Wiper
Язык программирования
C
C2 Протокол
SMB
Целевые системы
Ukrayna+Küresel

Возможности и поведение

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

Список IOC (2 индикаторов)

IOC — NotPetya
# DOMAIN posteo.net # MUTEX 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
ТипЗначениеПримечание
domain posteo.net
mutex 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX BTC cüzdanı

C2 Серверы (1 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
posteo.net domain 443 HTTPS active —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
notpetyaexpetrpc-developervs2010-pdbposteo-net1mz7153h-btcsandwormooops-encryptedwiper