Derin PE Analizi — LANRansomware | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 48877a3a4c72c1daf3a80e3c034b56a04cec7ce3856887fed73e645e53c76b96 |
|---|---|
| Boyut | 535,040 byte (PE32+ x86-64, 11 sections) |
| Dil | Delphi (System.SysUtils, FPC/Lazarus) |
| Entropi | 6.24 (normal — sıkıştırılmamış Delphi kodu) |
folder_reserved_by_lan_encryptor: LAN Ağ Şifreleme
RANSOMWARE KANITI: LAN ve yerel disk şifreleme için ayrılmış klasör bayrakları!
folder_reserved_by_local_encryptor folder_reserved_by_lan_encryptor -- İki ayrı şifreleme modu: 1. LOCAL: yerel disk şifreleme (C:, D:, vb.) 2. LAN: ağ sürücüsü/paylaşım şifreleme (\\server\share) -- "folder_reserved_by_*" mekanizması: - Her şifrelenmiş klasöre bu isimde boş bir dosya bırakır - Başka bir fidye yazılımı enkriptörü ile çakışmayı önler (mutex benzeri) - Şifreleme tamamlandığının işareti -- LAN şifreleme akışı: 1. Ağdaki paylaşımları bul (WNetOpenEnum veya NetShareEnum) 2. Her paylaşıma bağlan 3. "folder_reserved_by_lan_encryptor" dosyası oluştur 4. Tüm dosyaları AES ECB ile şifrele 5. Fidye notu bırak -- Kurumsal ağ tehdidi: NAS, dosya sunucuları, tüm paylaşımlar şifrelenir
EncryptECB / DecryptECB: AES ECB Modu Şifreleme
EncryptECB DecryptECB AEScipher SomePathEncryption / AEScipher TAESData EncryptionFuncs -- AES ECB (Electronic Code Book) modu: - Her 16-byte blok bağımsız şifrelenir - Dezavantaj: aynı plaintext → aynı ciphertext (pattern korunur) - Ransomware'de yaygın: basit, hızlı, yeterince güvenli -- "SomePathEncryption": dosya yolu da şifreleniyor (double extension değil) - Şifrelenmiş dosya adı → decrypt edilmeden açılamaz -- Delphi AES implementasyonu: yerleşik Delphi crypto kütüphanesi TAESData = AES data yapısı AEScipher = şifreleme nesnesi
is_stealth / cmd_list / wipeonly: Operasyonel Bayraklar
is_stealth -- gizli mod: UI gösterme, sessiz çalış cmd_list -- komut listesi: komut satırı parametreleri /wipeonly -- silme modu: şifreleme yerine sadece sil (destructive!) selftest1.txt -- self-test: şifreleme doğrulama testi HINT: Symlink processing is disabled BREAK POINT: -- debug output (geliştirme izleri) -- is_stealth = True: başlık gösterme, tray'a gizlen → kullanıcı fark etmez -- /wipeonly: şifreleme yapmadan dosyaları sil → geri dönüşü yok - Askeri/sabotaj amaçlı versiyonu - Fidye ödemesi de çözüm değil → veriler yok edilmiş -- cmd_list: operatör tarafından parametrize edilebilir --stealth, --wipeonly, --no-lan, --no-local gibi argümanlar
TMonitor.PW: C2 Domain
TMonitor.PW -- ".PW" TLD: Palau, C2 altyapısında kullanılan TLD -- "TMonitor" = "Threat Monitor"? Fidye yönetim paneli domain -- WSAStartup + closesocket + socket: ağ iletişimi aktif -- Olası kullanım: 1. C2 sunucusuna kurban ID + şifreleme anahtarını gönder 2. Operatör panelden "decrypt key" sağlar → fidye ödenirse 3. /wipeonly modunda: kurbanın şifrelemesi başlamadan haberdar et -- "PRESS ENTER TO TERMINATE PROGRAMM": ransomware etkileşim notu
IOC
| SHA256 | 48877a3a4c72c1daf3a80e3c034b56a04cec7ce3856887fed73e645e53c76b96 |
|---|---|
| C2 | tmonitor.pw |
| LAN Şifreleme | folder_reserved_by_lan_encryptor |
| Silme Modu | /wipeonly flag |
LANRansomware — Malware Profile
Tanimlanmamis Delphi tabanli LAN ransomware. AES-ECB ve AES-CTR modu sifrelemesi, yerel ag paylasimlari tarama ve sifreleme kapasitesi. /stealth, /wipeonly komut satiri secenekleri. how_to_decrypt.txt fidye notu. 11-section PE32+ TLS.
Malware Type
Ransomware
Programming Language
Delphi
C2 Protocol
TCP/HTTPS
Target Systems
Küresel
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — LANRansomware
# SHA256
48877a3a4c72c1daf3a80e3c034b56a04cec7ce3856887fed73e645e53c76b96
| Type | Value | Note |
|---|---|---|
| sha256 | 48877a3a4c72c1daf3a80e3c034b56a04cec7ce3856887fed73e645e53c76b96 |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| tmonitor.pw | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.