Genel Bakış

Yashma Ransomware Builder v1.2, Ryuk.Net kaynak koduna dayanan bir fidye yazılımı builder'ıdır. Fidye notu ve şifreli dosya listesi oluşturma, VSS silme ve recovery mode devre dışı bırakma gibi kritik özellikleri içeren bu builder, çalıştırıldığında özelleştirilebilir bir ransomware payload üretmektedir. C2 olarak Medusa grubuyla ilişkili Tor adresi kullanmaktadır.

Teknik Analiz

Семейство Bağlantısı: Yashma ← Ryuk.Net

Binary içinde Ryuk.Net.Properties.Resources ve Ryuk.Net.extensions namespace'leri tespit edilmiştir. Bu, Yashma'nın Ryuk ransomware C# kodunu forklayarak geliştirildiğini doğrulamaktadır.

C2 ve İletişim

  • Medusa Tor: medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion
  • Telegram Ödeme Desteği: https://t.me/RansomwareSupportBot
  • Tor İndir: https://www.torproject.org/download/ (fidye notunda)

Geliştirici Parmak İzi

  • PDB: c:\Users\User\Desktop\v7\Decrypter\decrypter\obj\Debug\Yashma decrypter.pdb
  • PDB: C:\Users\dongmin.liu\Downloads\files\src\4\obj\Debug\Yashma ransomware builder v1.2.pdb
  • Geliştirici adı dongmin.liu — muhtemelen Çin kökenli tehdit aktörü

Şifreleme

  • RSA + AES şifreleme: RSACryptoServiceProvider, GetKeyString, get_encryptOption
  • 100'den fazla dosya uzantısı hedeflenmektedir (.doc, .xls, .pdf, .jpg, .sql, .wallet, .vmdk...)

Anti-Kurtarma

  • deleteShadowCopiesCheckbox_CheckedChanged → VSS gölge kopyaları silme
  • disableRecoveryModeCheckbox_CheckedChanged → Windows recovery devre dışı
  • get_disableRecoveryMode / set_disableRecoveryMode

Builder Yapısı

Bu örnek builder uygulamasıdır, payload değildir. İçinde decrypter ve builder UI bileşenleri bulunmaktadır: deleteShadowCopiesCheckbox, disableRecoveryModeCheckbox, extensions_Load, SleepTextBox. Builder çalıştırıldığında özelleştirilmiş ransomware üretilmektedir.

Teknik Свойствоler

СвойствоЗначение
Platform.NET Mono v4.0.30319
ТипRansomware Builder (GUI)
ŞifrelemeRSA + AES
Tor C2medusaxko7j...cyd.onion
TemelRyuk.Net (fork)

IOC Özeti

  • Tor C2: medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion
  • Telegram: https://t.me/RansomwareSupportBot
  • Geliştirici: dongmin.liu
  • SHA256: d174cf908b7bcee10cc0458955554e5ba81beffd8544ae95a427fff643a41c86

Список IOC (3 индикаторов)

IOC — Yashma Ransomware
# SHA256 d174cf908b7bcee10cc0458955554e5ba81beffd8544ae95a427fff643a41c86 # DOMAIN medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion # URL https://t.me/RansomwareSupportBot
ТипЗначениеПримечание
sha256 d174cf908b7bcee10cc0458955554e5ba81beffd8544ae95a427fff643a41c86
domain medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion
url https://t.me/RansomwareSupportBot

C2 Серверы (1 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion domain 443 custom inactive —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
ransomwareyashmaryukbuildermedusatoronionrsaaesvssshadow-copydotnettelegram