Manuel Statik Analiz — Yanluowang Ransomware | Tehdit: KRITIK
ファイル Kimliği
| SHA256 | d11793433065633b408040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| ファイル名 | yan1.exe (Yanluowang imzası — "yan" + "1" versiyon) |
| サイズ | 408.040 byte |
| String Sayisi | 2.228 |
Geliştirici "cake" — Rahat Takma Ad
PDB İpucu: Tehdit aktörü "cake" takma adını kullanıyor — ciddi bir APT için olağandışı rahat kullanıcı adı!
C:\Users\cake\Desktop\project-main\project-main\ConsoleApplication2\cryptopp-master\... -- Kullanıcı: "cake" (muhtemelen Çince konuşan?) -- Proje klasörü: "project-main" (GitHub klonu!) -- "ConsoleApplication2" = Visual Studio varsayılan proje adı -- CryptoPP şifreleme kütüphanesi yüklü
Chrome Proses Öldürme
taskkill /f /im chrome* -- Chrome'u öldür (dosyaları kilitlemesin diye) AdjustTokenPrivileges -- SYSTEM yetkisi alma OpenProcessToken -- Proses token manipülasyonu
Yanluowang Hakkında
Yanluowang, 2021'de keşfedilen ve Cisco'nun 2022'deki ihlalinde kullanıldığı bildirilen ransomware ailesidir. İnsan hakları aktivistleri ve gazetecileri de hedeflediği bilinmektedir. Çin mitolojisindeki "Yanluowang" (Ölüm tanrısı) adını taşır. Temmuz 2022'de şifre çözme anahtarları sızdırılmıştır.
IOC
| SHA256 | d11793433065633b408040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| PDB | C:\Users\cake\Desktop\project-main (GitHub klonu) |
| Öldür | taskkill /f /im chrome* |
Yanluowang — マルウェアプロファイル
Yanluowang Cisco 2022 saldiginda kullanildi. developer "cake" CryptoPP. Chrome killer. Cin APT.
マルウェアの種類
Ransomware
プログラミング言語
C++
C2プロトコル
HTTPS
標的システム
Kuresel Kurumsal/Aktivist
機能と挙動
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOCリスト (1 件の指標)
IOC — Yanluowang
# SHA256
d11793433065633b408040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| タイプ | 値 | メモ |
|---|---|---|
| sha256 | d11793433065633b408040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=62 |