Manuel Statik Analiz — Akira Ransomware | Tehdit: KRİTİK

Dosya Kimliği

SHA256def3fe8d07d5370a1081856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adıw.exe (tek karakter OPSEC)
Boyut1.081.856 byte (1.05MB)
String Sayisi4.369

Tor Sızıntı Sitesi + Kurban Yolu

C2/SIZDIRMA: Gerçek Tor adresi + kurban referansı!
https://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion/d/4323440794-M
-- "akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id" = Akira Tor onion adresi
-- "/d/" = directory/data endpoint
-- "4323440794" = KURBAN KİMLİK NUMARASI!
-- "-M" = olası medya/module tipi
-- Akira: fidye ödenmezse kurban verilerini bu Tor sitesinde yayınlıyor
-- Bu URL: belirli bir kurbanın çalınan veri klasörüne doğrudan link!

.akira: Şifreli Dosya Uzantısı + Fidye Notu

.akira             -- şifreli dosyalara eklenen uzantı
akira_readme.txt   -- fidye notu dosyası adı (her klasöre bırakılır)

"Replacing or renaming .arika and .akira files;"
-- Ransom notunda yazım hatası: ".arika" yerine ".akira" olmalı
-- "arika" = "akira" harfleri karışmış
-- Geliştiricinin kendisi bile doğru yazamıyor!

IOC

SHA256def3fe8d07d5370a1081856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Onion C2akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion
Uzantı.akira
Fidye Notuakira_readme.txt

Akira — Malware Profile

Akira ransomware RaaS. akiralkzxzq Tor sizdirma sitesi. .akira uzantisi. akira_readme.txt fidye notu. SleepEx anti-debug.

Malware Type
Ransomware
Programming Language
C++
C2 Protocol
Target Systems
Windows/Linux

Technical Details

Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — Akira
# SHA256 def3fe8d07d5370a1081856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 def3fe8d07d5370a1081856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
akiraakiralkzxzq-onion-leak-sitevictim-id-4323440794akira-file-extensionakira-readme-txtarika-typo-in-ransom-notetor-leak-sitesleepex-anti-debug