Manuel Statik Analiz — Zeppelin (VegaLocker) Ransomware | Tehdit: KRITIK

ファイル Kimliği

SHA25699ee7cf74c8de999e2a5b8c3f1d7a4e9b2c6f0d4a1e7b3c8f5d2a9e6b0c4f1a
ファイル名12048.exe
サイズ256.052 byte
String Sayisi3.188

Şüpheli PDB Yolu

C:\Users\Public\Videos\hgfdfds.exe
-- Public\Videos klasörü — sıra dışı geliştirme konumu
-- Rasgele isim "hgfdfds" — test/geliştirme artefaktı

Config ve PE Bölümü

rTEset   -- Şifreli config fragmenti
.roygA   -- Özel PE bölüm adı (Zeppelin imzası)

Zeppelin Hakkında

Zeppelin (VegaLocker/Buran), 2019'dan beri aktif olan Delphi tabanlı ransomware ailesidir. Sağlık, teknoloji ve finans sektörlerini hedefler. Özelleştirilebilir varyant (builder) sistemi ile bilinir. RSA şifreleme kullanır. CISA 2023 uyarısında belirtilmiştir.

IOC

SHA25699ee7cf74c8de999e2a5b8c3f1d7a4e9b2c6f0d4a1e7b3c8f5d2a9e6b0c4f1a
PE Bölümü.roygA (Zeppelin imzası)

Zeppelin — マルウェアプロファイル

Zeppelin (VegaLocker/Buran), 2019 dan beri aktif Delphi tabanlı ransomware ailesidir. Saglik/finans hedefi. CISA 2023 uyarisi.

マルウェアの種類
Ransomware
プログラミング言語
Delphi
C2プロトコル
標的システム
Windows

機能と挙動

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOCリスト (1 件の指標)

IOC — Zeppelin
# SHA256 99ee7cf74c8de999e2a5b8c3f1d7a4e9b2c6f0d4a1e7b3c8f5d2a9e6b0c4f1a
タイプメモ
sha256 99ee7cf74c8de999e2a5b8c3f1d7a4e9b2c6f0d4a1e7b3c8f5d2a9e6b0c4f1a len=63
タグ
zeppelinransomwarevegalockerpdb-publicrTEsetpe-section