Manuel Statik Analiz — HelloKitty Ransomware | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2 |
|---|---|
| Boyut | 488.960 byte |
| String Sayisi | 2.489 |
Tor .onion C2
C2: HelloKitty'nin fidye müzakere/ödeme paneli Tor ağı üzerinden!
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion -- HelloKitty fidye ödeme / müzakere Tor paneli
VSS Shadow Copy Silme (WMI)
Geri Yüklemeyi İmha: WMI üzerinden tüm Windows Volume Shadow Copies silinir — sistem geri yüklenemez!
select * from Win32_ShadowCopy Win32_ShadowCopy.ID='%s' -- Her shadow copy ID silinir avshadow.exe -- Anti-AV shadow process
VMware ESXi Hedefleme
vmware-converter-a.exe -- VMware ESXi hypervisor saldırısı autorun.in, boot.in, desktop.in -- Boot-level kalıcılık
Anti-Debug
GetTickCount, IsDebuggerPresent -- Sandbox/debugger tespiti
HelloKitty Hakkında
HelloKitty (DeathRansom/FiveHands), 2020'den beri aktif RaaS ransomware ailesidir. CD Projekt Red saldırısında kullanılarak Cyberpunk 2077 kaynak kodunu çalmıştır. Windows sistemlerin yanı sıra VMware ESXi sunucularını da şifreleyebilir. Fidye ödemeleri için Tor .onion adresi kullanır.
IOC
| SHA256 | 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2 |
|---|---|
| Onion C2 | 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion |
| Anti-Geri Yükleme | WMI Win32_ShadowCopy silme |
HelloKitty — Malware Profile
HelloKitty (DeathRansom/FiveHands) RaaS. Tor .onion C2. WMI Win32_ShadowCopy silme. VMware ESXi hedefi. CD Projekt Red.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
—
Target Systems
Windows/Linux
Also Known As (AKA)
FiveHands
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — HelloKitty
# SHA256
8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
| Type | Value | Note |
|---|---|---|
| sha256 | 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2 |