Manuel Statik Analiz — NotPetya (ExPetr) | Tehdit: KRITIK
ファイル Kimliği
| SHA256 | 63545fa195488ff5399360b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| ファイル名 | NotPetya.exe |
| サイズ | 399.360 byte |
| String Sayisi | 2.337 |
Geliştirici PDB Kanıtı
C:\Users\PC\documents\visual studio 2010\Projects\NotPetya\Release\NotPetya.pdb -- Kullanıcı: "PC" (generic ama developer makinesi teyit) -- IDE: Visual Studio 2010 (eski nesil, imza izlemeyi zorlaştırır) -- Proje: "NotPetya" (operatörler kendi isimlerini koymuş!) -- Derleme: Release (üretim/operasyon derlemesi)
Fidye İletişim ve BTC
posteo.net -- Alman anonim email servisi
-- wowsmith123456@posteo.net (tarihi NotPetya email adresi)
-- Posteo hesabı saldırı sonrası kapatıldı
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX -- TEK NotPetya BTC adresi!
-- Tüm kurbanlara aynı adres → gerçek fidye toplama değil!
-- Bu WIPER'in kanıtı: para maksatlı değil, imha için
-- Bu adrese ~$10,000 USD geldi; kullanılmadı
Ransom Note
Ooops, your important files are encrypted.
NotPetya Hakkında
NotPetya (ExPetr, Petya.A), 27 Haziran 2017'de Ukrayna'yı hedef alan ve tarihin en yıkıcı siber saldırısı olan wiper'dır. Şifreliyor ama kurtarma imkanı yok (fake ransomware). EternalBlue + Mimikatz credential harvesting ile yayılır. Rusya GRU'nun Sandworm grubu. Maersk, Merck, FedEx, Mondelez başta 10+ milyar USD hasar.
IOC
| SHA256 | 63545fa195488ff5399360b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| posteo.net (anonim Alman email) | |
| BTC | 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX (tarihi tek adres) |
NotPetya — マルウェアプロファイル
NotPetya/ExPetr Sandworm GRU 2017. Ukrayna hedef. EternalBlue+Mimikatz yayilma. Wiper (sahte ransom). 10B+ USD hasar.
マルウェアの種類
Wiper
プログラミング言語
C
C2プロトコル
SMB
標的システム
Ukrayna+Küresel
機能と挙動
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOCリスト (2 件の指標)
IOC — NotPetya
# DOMAIN
posteo.net
# MUTEX
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
| タイプ | 値 | メモ |
|---|---|---|
| domain | posteo.net | |
| mutex | 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX | BTC cüzdanı |
C2サーバー (このファミリーで1台のサーバーを記録)
| アドレス | タイプ | ポート | プロトコル | ステータス | 国 |
|---|---|---|---|---|---|
| posteo.net | domain | 443 | HTTPS | active | — |
C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。