Manuel Statik Analiz — Cl0p Ransomware | Tehdit: KRITIK
ファイル Kimligi
| SHA256 | f55e4553ed04f085bc5b93cf7e5386c3d938abcb13a95ef1d2c11b21c16c05a |
|---|---|
| サイズ | 336.384 byte |
| String Sayisi | 1.647 |
RSA Public Key Kaniti
3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe... -- DER formatli RSA public key (ASN.1 sekans) CryptImportPublicKeyInfo -- RSA anahtar import API -- Dosya sifreleme icin gomulu RSA public key
Hizli Sifreleme Altyapisi
CreateIoCompletionPort -- IOCP (I/O Completion Port) CreateMutexA -- Tekli instance kontrolu -- IOCP ile paralel dosya sifreleme (yuksek hiz)
Cl0p Hakkinda
Cl0p (Clop, CLOP), 2019'dan beri aktif FIN11 grubunun ransomware ailesidir. GOZi banker'dan evrilmis, kurumsal hedeflerde double-extortion (veri + sifreleme) uygular. MOVEit Transfer ve GoAnywhere MFT zaafiyetlerini istismar eden kampanyalariyla 2023'te yaygin tespid edilmistir. RSA-1024 ile AES anahtarini sifreler.
IOC
| SHA256 | f55e4553ed04f085bc5b93cf7e5386c3d938abcb13a95ef1d2c11b21c16c05a |
|---|---|
| Sifrelemec | RSA (gomulu public key) + AES |
Clop — マルウェアプロファイル
Cl0p (Clop), 2019 dan beri aktif FIN11 ransomware ailesidir. GOZi kaynaklı. MOVEit/GoAnywhere zaafiyetleri ile kitlesel veri hirsizligi. RSA-1024 + AES + IOCP hizli sifreleme.
マルウェアの種類
Ransomware
プログラミング言語
C/C++
C2プロトコル
Email
標的システム
Kuresel — Kurumsal, Saglik, Finans
機能と挙動
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOCリスト (1 件の指標)
IOC — Clop
# MUTEX
3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe
| タイプ | 値 | メモ |
|---|---|---|
| mutex | 3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe | BTC cüzdanı |