Genel Bakış
B.crypted Ransomware, gelişmiş bir fidye yazılımıdır. ファイルları .B.crypted uzantısıyla şifreleyerek Tor anonimlik ağı üzerinden ödeme talep eder. WMI kullanarak gölge kopyaları silen bu malware; özellikle Webroot, COMODO ve diğer güvenlik ürünlerini hedef alarak önce güvenlik süreçlerini sonlandırır, ardından şifrelemeye başlar.
Teknik Analiz
Tor C2 Altyapısı
- C2 Adresi:
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion - Ödeme/anahtar alımı Tor ağı üzerinden yapılmaktadır
Fidye Mesajı
"Your files have been encrypted."
"Content of your files have been modified. Without special key you can't undo that operation."
"We will give you special decryption program and instructions."
WMI ile Shadow Copy Silme
Standart vssadmin delete shadows komutu yerine WMI doğrudan kullanılmaktadır — bu yöntem bazı güvenlik araçları tarafından daha az tespit edilir:
select * from Win32_ShadowCopy
Win32_ShadowCopy.ID='%s' → her kopyayı tek tek siler
ShadowProtectSvc— ShadowProtect yedekleme servisini durdururavshadow.exe— Webroot gölge kopya ajanını sonlandırır
信頼度lik Ürünü Kill Listesi
Şifrelemeden önce şu güvenlik süreçleri sonlandırılmaktadır:
| Süreç | Ürün |
|---|---|
| wrsa.exe / wrsa* | Webroot SecureAnywhere Antivirus |
| avgrsa.exe | AVG/Webroot entegrasyon ajanı |
| aesecurityservice.exe | Webroot AES Security Service |
| avshadow.exe | Webroot Shadow Copy Agent |
| cmdagent.exe | COMODO Internet Security |
| winvnc4.exe / WinVNC4 | UltraVNC uzak masaüstü |
| csinject.exe | CrowdStrike Injection Module |
| prgateway.exe | Parallels Remote Application Server |
| prftpengine.exe | Parallels FTP Engine |
| bdredline.exe | Bitdefender RedLine Component |
| isntsmtp.exe | Symantec SMTP Scanner |
| pxemtftp.exe | PXE TFTP Server (yedekleme altyapısı) |
| zoolz.exe / Zoolz 2 Service | Zoolz Cloud Backup |
| zonealarm.exe | ZoneAlarm Firewall |
| zlclient.exe | ZoneAlarm Client |
PE Yapısı
- ファイル Entropi: 2.67 (düşük — minimal obfüskasyon)
.shellbölümü (standart olmayan section adı)- TLS Directory mevcut (anti-debug potansiyeli)
- Zero/invalid timestamp
Teknik 項目ler
| 項目 | 値 |
|---|---|
| Uzantı | .B.crypted |
| C2 | Tor onion (6x7dp6h3...) |
| VSS Silme | WMI Win32_ShadowCopy (vssadmin kullanmaz) |
| 信頼度lik Kill | Webroot, COMODO, ZoneAlarm, Bitdefender, CrowdStrike |
| アーキテクチャ | PE32 x86 |
IOC Özeti
- Tor C2:
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion - Uzantı: .B.crypted
- SHA256:
8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
IOCリスト (2 件の指標)
# SHA256
8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
# DOMAIN
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
| タイプ | 値 | メモ |
|---|---|---|
| sha256 | 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2 | |
| domain | 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion |
C2サーバー (このファミリーで1台のサーバーを記録)
| アドレス | タイプ | ポート | プロトコル | ステータス | 国 |
|---|---|---|---|---|---|
| 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion | domain | 443 | custom | inactive | — |
C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。