Genel Bakış

B.crypted Ransomware, gelişmiş bir fidye yazılımıdır. ファイルları .B.crypted uzantısıyla şifreleyerek Tor anonimlik ağı üzerinden ödeme talep eder. WMI kullanarak gölge kopyaları silen bu malware; özellikle Webroot, COMODO ve diğer güvenlik ürünlerini hedef alarak önce güvenlik süreçlerini sonlandırır, ardından şifrelemeye başlar.

Teknik Analiz

Tor C2 Altyapısı

  • C2 Adresi: 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
  • Ödeme/anahtar alımı Tor ağı üzerinden yapılmaktadır

Fidye Mesajı

"Your files have been encrypted."

"Content of your files have been modified. Without special key you can't undo that operation."

"We will give you special decryption program and instructions."

WMI ile Shadow Copy Silme

Standart vssadmin delete shadows komutu yerine WMI doğrudan kullanılmaktadır — bu yöntem bazı güvenlik araçları tarafından daha az tespit edilir:

select * from Win32_ShadowCopy
Win32_ShadowCopy.ID='%s'  → her kopyayı tek tek siler
  • ShadowProtectSvc — ShadowProtect yedekleme servisini durdurur
  • avshadow.exe — Webroot gölge kopya ajanını sonlandırır

信頼度lik Ürünü Kill Listesi

Şifrelemeden önce şu güvenlik süreçleri sonlandırılmaktadır:

SüreçÜrün
wrsa.exe / wrsa*Webroot SecureAnywhere Antivirus
avgrsa.exeAVG/Webroot entegrasyon ajanı
aesecurityservice.exeWebroot AES Security Service
avshadow.exeWebroot Shadow Copy Agent
cmdagent.exeCOMODO Internet Security
winvnc4.exe / WinVNC4UltraVNC uzak masaüstü
csinject.exeCrowdStrike Injection Module
prgateway.exeParallels Remote Application Server
prftpengine.exeParallels FTP Engine
bdredline.exeBitdefender RedLine Component
isntsmtp.exeSymantec SMTP Scanner
pxemtftp.exePXE TFTP Server (yedekleme altyapısı)
zoolz.exe / Zoolz 2 ServiceZoolz Cloud Backup
zonealarm.exeZoneAlarm Firewall
zlclient.exeZoneAlarm Client

PE Yapısı

  • ファイル Entropi: 2.67 (düşük — minimal obfüskasyon)
  • .shell bölümü (standart olmayan section adı)
  • TLS Directory mevcut (anti-debug potansiyeli)
  • Zero/invalid timestamp

Teknik 項目ler

項目
Uzantı.B.crypted
C2Tor onion (6x7dp6h3...)
VSS SilmeWMI Win32_ShadowCopy (vssadmin kullanmaz)
信頼度lik KillWebroot, COMODO, ZoneAlarm, Bitdefender, CrowdStrike
アーキテクチャPE32 x86

IOC Özeti

  • Tor C2: 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
  • Uzantı: .B.crypted
  • SHA256: 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2

IOCリスト (2 件の指標)

IOC — B.crypted Ransomware
# SHA256 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2 # DOMAIN 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
タイプメモ
sha256 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
domain 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion

C2サーバー (このファミリーで1台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion domain 443 custom inactive —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
ransomwarebcryptedtoronionwmishadow-copywebrootcomodocrowdstrikezonealarmbitdefendervsskill-list