Manuel Statik Analiz — Medusa Ransomware | Tehdit: KRİTİK

Dosya Kimliği

SHA256c966ace15bece19a757760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Boyut757.760 byte (740KB)
String Sayisi3.741

JSON Konfigürasyon Alanları Tespit Edildi!

KRİTİK: Medusa'nın konfigürasyon yapısı açığa çıktı!
encryptedFileExtension  -- şifreli dosya uzantısı (örn: ".medusa", ".MedusaLocker")
skipExtensions          -- şifrelenmeyecek uzantılar (örn: .exe .dll .sys)
masterPublicKey         -- RSA ana açık anahtar (kurban başına benzersiz)

Konfigürasyon Analizi

encryptedFileExtension:
-- Bu field şifreli dosyalara eklenecek uzantıyı belirler
-- Örnek: "invoice.pdf" → "invoice.pdf.medusa"
-- Analistin şifreli dosyaları tanıması için C2'den gelir

skipExtensions:
-- Windows'un çalışması için kritik dosyaları şifrelemiyor
-- Örn: .exe .dll .sys .msi → bilgisayarı kullanılamaz yapmaması için
-- Saldırgan: kurban sistemi kapatırsa fidye ödemez

masterPublicKey:
-- Asimetrik RSA şifreleme: her kurban için benzersiz RSA private key
-- Private key sadece C2'de → fidye ödenince gönderiliyor
-- Master public key binary içine hardcoded

Hata Logu: RegCreateKeyExW Failed

RegCreateKeyExW failed.
-- Registry anahtarı oluşturma başarısız (izin hatası)
-- Medusa kalıcılık için registry kullanmaya çalışıyor
-- UAC kısıtlı ortamlarda başarısız → hata log mesajı

IOC

SHA256c966ace15bece19a757760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Config AlanlarıencryptedFileExtension, skipExtensions, masterPublicKey

Medusa — Malware Profile

Medusa/MedusaLocker ransomware. JSON config: encryptedFileExtension skipExtensions masterPublicKey. RegCreateKeyExW kalicilik.

Malware Type
Ransomware
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Küresel

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — Medusa
# SHA256 c966ace15bece19a757760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValueNote
sha256 c966ace15bece19a757760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Tags
medusaencryptedfileextension-config-fieldskipextensions-configmasterpublickey-rsa-configjson-config-exposedregcreatekeyexw-failedransomware-config