Bu rehber, gerçek Cl0p örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

Cl0p Nedir?

Cl0p, ilk olarak 2020 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

Cl0p, Fidye Yazılımı (Ransomware) kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, kurban sistemindeki dosyaları şifreleyerek erişimi engelleyen ve şifre çözme anahtarı karşılığında fidye talep eden bir fidye yazılımı olarak analiz edilmiştir. Güçlü asimetrik şifreleme algoritmalarını kullanan bu tehdit aktörü, şifreleme sonrasında Tor

Atıf / Tehdit Aktörü: NULL

Teknik Detay: Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Cl0p örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
3320f11728458d01eef62e10e48897ec1c2277c1fe1aa2d471a16b4dccfc1207SHA256NULL
d21908dc0c08da389aa9e4829aa934ab7f250fece1430ed5a644e0590d8876f7SHA256NULL
f55e4553ed04f085bc5b93cf7e5386c3d938abcb13a95ef1d2c3f8b21c454db8SHA256NULL
e805dd0124b9f062f6b5bc9de627eabc601b9d6e8ffe1d90ee552a1ece598a89SHA256NULL
ae355c321f1fe36c9539457301a3cf5d8babc58c72a3f6a5ef160253b4002b1aSHA256NULL
8752a7a052ba75239b86b0da1d483dd7MD5NULL
9246b822f94eb24b49bac245153c7fdbMD5NULL
165c7812f74a8918378e8ea964135582MD5NULL
9609f431724b58e4830caa8edbe80762MD5NULL
a8cc764e7c7a62a0fc26bbe3df31daa6MD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Cl0p Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Şifrelenmiş Dosyaların Kurtarılması

Fidye Ödemeyin

Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.