Manuel Statik Analiz — Dharma/CrySis Ransomware | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 5671112c276673ee1da43aa1a30d8ca42c9f7e5e56dae4be25cdd5eab0c3a8f1 |
|---|---|
| Dosya Adı | VirusShare sample (1.1MB PE) |
| String Sayisi | 5.092 |
decoder@firemail.cc: Kurban Fidye İletişim E-postası
RANSOMWARE CONTACT: Dharma fidye notu kurban bu adrese yazıyor!
decoder@firemail.cc -- "decoder" = şifre çözücü (decryptor) sahibi -- "firemail.cc" = anonim ücretli e-posta servisi - .cc = Cocos Islands TLD (anonim) - firemail.cc: kayıt gerektirmeyen geçici e-posta -- Kurban fidyeyi ödeyince "decoder" e-posta üzerinden decryptor alıyor -- Dharma fidye notu: "Contact us: decoder@firemail.cc" -- Bu e-posta: şifre çözme anahtarını Dharma aktörü tutuyor -- Dharma/CrySis: 2016'dan beri aktif, en uzun yaşayan fidye yazılımı - Builder sızıntısı: darknet'te satıldı → yüzlerce alt grup - Her kurban için farklı RSA anahtar çifti
wmic shadowcopy delete: Windows Yedek Kopyaları Silme
YEDEK İMHA: Şifreli dosyaları Shadow Copy'den kurtarmayı engelliyor!
start cmd.exe /c wmic shadowcopy delete -- "wmic" = Windows Management Instrumentation CLI -- "shadowcopy delete" = TÜM Windows gölge kopyalarını sil! -- "start cmd.exe /c" = komut satırı aracılığıyla çalıştır - "/c" = komut bittikten sonra kapat - "start" = yeni süreçte çalıştır (ransomware beklemez) -- Kurbanın Windows Sistem Geri Yükleme noktaları imha ediliyor! -- "Previous Versions" özelliği: artık çalışmıyor -- Bu komut: fidye ödemesi için kurtarma yollarını kapatıyor
Crypto++ PK_Signer / TF_SignerBase: RSA Anahtar Şifrelemesi
PK_Signer: key too short for this signature scheme TF_SignerBase: this algorithm does not support a key this short -- Crypto++ (CryptoPP) kütüphanesi hata stringleri -- "PK_Signer" = Crypto++ imza sınıfı (RSA/DSA/ECDSA) -- "TF_SignerBase" = Crypto++ trapdoor fonksiyonu imza tabanı -- Dharma: dosya şifreleme anahtarlarını RSA ile şifreler - Her kurban için farklı AES oturum anahtarı - AES anahtarı saldırganın RSA public key'i ile şifrelenir - Özel RSA anahtarı olmadan AES anahtarı kırılamaz -- Bu stringler: RSA anahtar boyutu kontrolü (minimum 1024 bit)
Çift Zamanlama Anti-Debug
GetTickCount64 -- yüksek çözünürlüklü timer (64-bit) GetTickCount -- standart timer (32-bit) -- İkili timer karşılaştırması: debugger varlığını tespit eder -- Debug modunda: timer farkı normalden büyük → çalışmayı durdur
IOC
| SHA256 | 5671112c276673ee1da43aa1a30d8ca42c9f7e5e56dae4be25cdd5eab0c3a8f1 |
|---|---|
| Fidye Emaili | decoder@firemail.cc |
DharmaCrySis — Malware Profile
Dharma/CrySis ransomware. decoder@firemail.cc contact email. wmic shadowcopy delete backup removal. Crypto++ RSA encryption. 2016-present, builder leaked on darknet.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
SMTP/Email
Target Systems
Küresel/Kurumsal
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — DharmaCrySis
# SHA256
5671112c276673ee1da43aa1a30d8ca42c9f7e5e56dae4be25cdd5eab0c3a8f1
| Type | Value | Note |
|---|---|---|
| sha256 | 5671112c276673ee1da43aa1a30d8ca42c9f7e5e56dae4be25cdd5eab0c3a8f1 |