Genel Bakış

NokoRansomware, Rust programlama diliyle geliştirilmiş ve JSON benzeri Base64 kodlu yapılandırma dosyası aracılığıyla yönetilen bir fidye yazılımıdır. PDB yolu (Y:\noko\target\release\deps\noko.pdb) ve Cargo bağımlılıkları (base64-0.3.1) aracılığıyla tanımlanan bu örnek; Volume Shadow Copy silme, ağ paylaşımı şifreleme ve gizli sürücü keşfi gibi gelişmiş özellikler sunmaktadır.

Teknik Analiz

Yapılandırma Sistemi

Ransomware, komut satırından --config <base64 encoded config> argümanıyla çalıştırılmaktadır. Yapılandırma içindeki temel bayraklar:

  • EXTENSION — Şifrelenen dosyalara eklenecek özel uzantı
  • NOTE_NAME — Fidye notu dosya adı
  • NOTE_CONTENT — Fidye notu içeriği
  • DELETE_SHADOW — Volume Shadow Copy silme etkinleştirme
  • ENCRYPT_NETWORK — Ağ paylaşımlarının şifrelenmesi
  • LOAD_HIDDEN_DRIVES — Gizli sürücülerin keşfi ve şifrelenmesi

Kullanım Modları

--config <base64>               # Tam sistem şifrelemesi
--config <base64> --file <yol> # Tek dosya şifrelemesi
--config <base64> --dir <yol>  # Tek dizin şifrelemesi

VSS Silme Mekanizması

Shadow copy silme işlemi Windows Volume Shadow Service'e doğrudan \\.\ WMI yoluyla erişim aracılığıyla gerçekleştirilmektedir:

DELETE_SHADOW\.\:
"Successfully deleted shadow copies from [volume]"
"Couldn't delete shadow copies from volume! GetLastError: [kod]"

Ağ Paylaşımı Şifreleme

UNC yol desteği (UNC\H9) ile ağ paylaşımları tespit edilip şifrelenebilmektedir. Bu özellik yapılandırmada ENCRYPT_NETWORK bayrağı ile etkinleştirilmektedir.

Dosya Keşfi

"[dosya adı] was found. Added to encryption list."

Recursive dizin taraması ile tüm uygun dosyalar listelenmekte ve sırayla şifrelenmektedir.

Rust Teknik Detaylar

  • Rust toolchain: rustc/a55dd71d5fb0ec5a6a3a9e8c27b2127ba491ce52
  • Cargo bağımlılığı: base64-0.3.1 (yapılandırma çözme için)
  • Windows API: src\windowsapi.rs — VSS erişimi için özel modül
  • Hata ayıklama: RUST_BACKTRACE desteği

Teknik Özellikler

ÖzellikDeğer
MimariPE32+ (x86-64 Console)
DilRust
PDB YoluY:\noko\target\release\deps\noko.pdb
TLS DiziniMevcut (1 fonksiyon)
C2 BağlantısıYok (çevrimdışı, yapılandırma tabanlı)
Entropy6.27 (normal)

IOC Özeti

  • PDB Yolu: Y:\noko\target\release\deps\noko.pdb
  • SHA256: 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6

NokoRansomware — Malware Profile

Rust ransomware. PDB Y:\noko\target\release\deps\noko.pdb. Operator-configurable base64 CLI config. SystemFunction036 RtlGenRandom key gen. FindFirstVolumeW multi-drive encryption. Volume mount enumeration. CreateMutexA anti-reinfection.

Malware Type
Ransomware
Programming Language
Rust
C2 Protocol
Offline/CLI
Target Systems
Küresel

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — NokoRansomware
# SHA256 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6
TypeValueNote
sha256 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6
Tags
ransomwarerustvss-deleteshadow-copynetwork-sharesbase64-configofflineunchidden-drives