Manuel Statik Analiz — Babuk Ransomware | Tehdit: YUKSEK

Dosya Kimliği

SHA2565874159ac61ab034422400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adımmd khr.exe (boşluklu isim — analiz araçlarını zorluyor)
Boyut422.400 byte
String Sayisi2.355

Telegram Müzakere Kanalı

Taktik: Babuk, geleneksel Tor portalı yerine Telegram üzerinden müzakere yapıyor!
"Write the Chat_ID in the email subject."
"Chat_ID = %s"
-- Her kurban için benzersiz Telegram Chat ID üretiliyor
-- Email konusuna Chat_ID yazarak iletişim kuruluyor
-- Telegram = anonim, şifreli, takip edilmesi zor kanal

Fidye Notu

!!! Your files have been encrypted !!!
Before paying you can send 2-3 files less than...

Babuk Hakkında

Babuk, 2021'de Washington DC Polis Departmanı'nı hedef almasıyla tanınan RaaS grubudur. Kaynak kodu 2021'de sızdırıldı ve onlarca spin-off (ESXiArgs, RTM Locker, vb.) ortaya çıktı. VMware ESXi hedefleyen ilk fidye yazılımlarından biridir.

IOC

SHA2565874159ac61ab034422400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
MüzakereTelegram Chat_ID (email yoluyla)

BabukRansom — Malware Profile

Babuk 2021 DC Polisi saldirisi. ESXi hedef. Kaynak kodu sizdirma → spin-off. Telegram muzakere.

Malware Type
Ransomware
Programming Language
C
C2 Protocol
Telegram/Email
Target Systems
Kuresel Kurumsal/Kamu

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — BabukRansom
# SHA256 5874159ac61ab034422400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 5874159ac61ab034422400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=62
Tags
babukransomwaretelegram-chatidmmd-khr-exeencrypted-filesnegotiation-telegram