Manuel Statik Analiz — HelloKitty Ransomware | Tehdit: KRITIK

Dosya Kimliği

SHA2568fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
Boyut488.960 byte
String Sayisi2.489

Tor .onion C2

C2: HelloKitty'nin fidye müzakere/ödeme paneli Tor ağı üzerinden!
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
-- HelloKitty fidye ödeme / müzakere Tor paneli

VSS Shadow Copy Silme (WMI)

Geri Yüklemeyi İmha: WMI üzerinden tüm Windows Volume Shadow Copies silinir — sistem geri yüklenemez!
select * from Win32_ShadowCopy
Win32_ShadowCopy.ID='%s'  -- Her shadow copy ID silinir
avshadow.exe              -- Anti-AV shadow process

VMware ESXi Hedefleme

vmware-converter-a.exe  -- VMware ESXi hypervisor saldırısı
autorun.in, boot.in, desktop.in  -- Boot-level kalıcılık

Anti-Debug

GetTickCount, IsDebuggerPresent  -- Sandbox/debugger tespiti

HelloKitty Hakkında

HelloKitty (DeathRansom/FiveHands), 2020'den beri aktif RaaS ransomware ailesidir. CD Projekt Red saldırısında kullanılarak Cyberpunk 2077 kaynak kodunu çalmıştır. Windows sistemlerin yanı sıra VMware ESXi sunucularını da şifreleyebilir. Fidye ödemeleri için Tor .onion adresi kullanır.

IOC

SHA2568fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
Onion C26x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
Anti-Geri YüklemeWMI Win32_ShadowCopy silme

HelloKitty — Malware Profile

HelloKitty (DeathRansom/FiveHands) RaaS. Tor .onion C2. WMI Win32_ShadowCopy silme. VMware ESXi hedefi. CD Projekt Red.

Malware Type
Ransomware
Programming Language
C++
C2 Protocol
Target Systems
Windows/Linux
Also Known As (AKA)
FiveHands

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — HelloKitty
# SHA256 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
TypeValueNote
sha256 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
Tags
hellokittyransomwaretor-onion-c2wmi-shadowcopyvmware-esxiransomware-as-service