Manuel Statik Analiz — Cryakl Ransomware | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 0442cfabb3212644c4b894a7e4a7e84c00fd23489cc4f9b3c5a4f7d0e2b6c9f1 |
|---|---|
| Boyut | 379.392 byte (370KB) |
| String Sayisi | 2.092 |
C2 Sunucuları: Rusya Online Alışveriş Domainleri
C2 TESPİT: İki Rusya C2 sunucusu!
http://shopping-na-divane.ru/system/logs/tool/inst.php http://shoptorgvlg.ru/system/logs/tool/inst.php -- "shopping-na-divane.ru" = Rusçada "kanepede alışveriş" (slang) -- "shoptorgvlg.ru" = shop + torg (Rusça ticaret) + vlg (Volgograd kısaltması?) -- Ortak yol: /system/logs/tool/inst.php (aynı panel!) -- "inst.php" = installation gate (kurban kaydı + decryption fee) -- HTTP: şifresiz iletişim → fidye yazışmaları düz metin! -- iki domain: yedek C2 (birisi düşerse diğeri devreye girer)
Ransomware Şifreleme Hedefleri: Tasarım + Veritabanı + 3D
HEDEF LİSTESİ: Şifrelenecek dosya uzantıları tam listesi!
psd:zip:ert:bak:xml:cf:mdf:fil:spr:accdb:abf:a3d:asm:fbx:fbw:fbk:fdb:fbf:max:m3d:dbf:[...] -- psd = Adobe Photoshop (tasarım dosyaları) -- mdf = SQL Server veritabanı (kurumsal DB) -- accdb = Microsoft Access veritabanı -- fbx = Autodesk FBX (3D model) -- max = 3ds Max sahne dosyası -- m3d = Motion 3D modeli -- asm = Assembly kaynak kodu -- dbf = dBase veritabanı -- Hedef sektör: tasarım firmaları, mimarlık, 3D stüdyolar, kurumsal DB -- ZIP de dahil: backup arşivleri de şifreliyor!
IOC
| SHA256 | 0442cfabb3212644c4b894a7e4a7e84c00fd23489cc4f9b3c5a4f7d0e2b6c9f1 |
|---|---|
| C2-1 | shopping-na-divane.ru/system/logs/tool/inst.php |
| C2-2 | shoptorgvlg.ru/system/logs/tool/inst.php |
Cryakl — Malware Profile
Cryakl FortCrypt ransomware. Russian shop C2 domains. inst.php gate. Encrypts design/DB/3D files.
Malware Type
Ransomware
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Rusya/BDT
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — Cryakl
# SHA256
0442cfabb3212644c4b894a7e4a7e84c00fd23489cc4f9b3c5a4f7d0e2b6c9f1
| Type | Value | Note |
|---|---|---|
| sha256 | 0442cfabb3212644c4b894a7e4a7e84c00fd23489cc4f9b3c5a4f7d0e2b6c9f1 |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| shopping-na-divane.ru | domain | 80 | HTTP | inactive | — |
| shoptorgvlg.ru | domain | 80 | HTTP | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.