Bu rehber, gerçek BlackCat örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 2 IP, 2 domain, 1 registry).

BlackCat Nedir?

BlackCat, ilk olarak 2021 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. Rust programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

BlackCat (ALPHV) is a Rust-based RaaS. Triple extortion, cross-platform (Windows/Linux/ESXi). Related to DarkSide/BlackMatter lineage. Major attacks 2022-2024.

Atıf / Tehdit Aktörü: ALPHV (linked to DarkSide/BlackMatter)

Teknik Detay: BlackCat (ALPHV) is the first major ransomware written in Rust, enabling cross-platform attacks on Windows, Linux, and VMware ESXi. Emerged November 2021 as a RaaS operation. Triple extortion: file encryption + data exfiltration + DDoS threats. Uses AES-128 (CTR mode) or ChaCha20 for file encryption

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
  • Dosyalarınızın şifreli hale gelmesi ve fidye notu oluşması

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek BlackCat örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
1d6d47bf20d21b860d232a358481c477c36491134ea976372c69a0483e05a556SHA256BlackCat
38d5f4f37686dab8b082b591224e272883644caab6a814e7751981da00523c51SHA256BlackCat
40da7968b86654b9af30178540a4cacaf1c61476c4fcb95e438697bb5e47854fSHA256BlackCat
df8d000833243acc0004595b3a8d4b66fcd7b76d8685d5c2ff61ee2a40a0e92cSHA256BlackCat
4729c95c7b1da0c7176d100bb5fccea3b1c467f295e37677fab3b50d41ff1ff0SHA256BlackCat
06c88ddc3cc18c4e7d5dc7a8a5de6477MD5BlackCat
5ec0db562fbf982be4d10db97aef0c81MD5BlackCat
392cbe841c7bb1ead1a00213e750648cMD5BlackCat
a0cd8aa1cd7cc61d41977cceacd7d4f6MD5BlackCat
9adec3dda8427bf36fb83f6c384da2c5MD5BlackCat

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — BlackCat Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Registry Anahtarlarını Temizleyin

Silinecek Registry Anahtarları

Analizde BlackCat'ın oluşturduğu veya değiştirdiği registry girdileri. Win+Rregedit ile yönetici olarak açın:

  • HKCUSoftwareMicrosoftWindowsCurrentVersionRunBlackCat — BlackCat autorun registry

Dikkat: Registry'den yanlış kayıt silmek sisteme zarar verebilir. Emin değilseniz önce yedek alın.

Adım 5 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes Anti-Malware
  • Emsisoft Emergency Kit
  • Windows Defender Çevrimdışı Tarama

Adım 6 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen BlackCat C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

  • 185.220.101.72
  • 194.38.20.111

Domain Adresleri

  • alphvmmm27o3abo3r2mlmjjihjh4lrxhzifbn6in7g5a3z3jsexkhad.onion
  • ransombkp2b4ym6ox4p6dkc2khnifxmijj2vpcmprsaqhidgvtpyb4id.onion

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Şifrelenmiş Dosyaların Kurtarılması

Fidye Ödemeyin

Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.

  • No More Ransom Projesi — ücretsiz şifre çözücüler veritabanı
  • VSS Kontrolü: vssadmin list shadows → önceki sürümleri geri yükleyin
  • Yedekten Geri Yükleme: Etkilenmemiş yedekten sistemi kurtarın
  • Kurtarma şu an mümkün değilse verileri saklayın — ilerleyen dönemde şifre çözücü yayınlanabilir

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

BlackCat — Malware Profile

BlackCat, Rust ile yazılan ransomware'dir.

Malware Type
Ransomware
Programming Language
Rust
C2 Protocol
Target Systems
Windows/Linux
Also Known As (AKA)
ALPHV

Technical Details

BlackCat (ALPHV) is the first major ransomware written in Rust, enabling cross-platform attacks on Windows, Linux, and VMware ESXi. Emerged November 2021 as a RaaS operation. Triple extortion: file encryption + data exfiltration + DDoS threats. Uses AES-128 (CTR mode) or ChaCha20 for file encryption with RSA-2048 for key protection. Highly configurable JSON config: target extensions, excluded paths, credential stuffing. Uses intermittent encryption (partial file encryption) for speed. ALPHV 3.0 (Sphynx) introduced EXMATTER data exfiltration tool. FBI disrupted December 2023 with decryption keys released for 500 victims. Believed operated by former DarkSide/BlackMatter members.

Attribution / Threat Actor

ALPHV (linked to DarkSide/BlackMatter)

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
Tags
temizlikkaldırmablackcatransomwarevirüs temizleme