Derin PE Analizi — NokoRansomware (Rust) | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6 |
|---|---|
| Dosya Adı | 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6 (salt hash ismi — uzantısız) |
| Tür | PE32+ (x86-64), Rust release binary, 6 sections |
| Boyut | ~458 KB |
| Entropi | 6.271825 (normal — Rust release binary sıkıştırılmamış) |
Y:\noko\target\release\deps\noko.pdb: Rust Proje PDB Sızıntısı
PDB ATTRIBUTION: Fidye yazılımının kaynak proje adı ve geliştirici yapı ortamı tespit edildi!
Y:\noko\target\release\deps\noko.pdb ┌────────────────────────────────────────────────────────── │ Sürücü harfi : Y:\ (ağ paylaşımı veya sanal sürücü) │ Proje adı : noko (→ "NokoRansomware") │ Build türü : release (optimize edilmiş, yayın) │ Build sistemi : Cargo (Rust paket yöneticisi) │ Alt yol : target\release\deps\ (Cargo standart çıktı) └────────────────────────────────────────────────────────── -- "noko": projenin Cargo.toml'deki [package] name = "noko" -- Y:\ sürücüsü: geliştirici mapped network drive'da çalışıyor -- release build: deployment hazır, debug sembolleri optimize kaldırıldı -- Rust PDB: Rust binary'lerde nadir — geliştiricinin debug info ürettiğinin kanıtı -- Rustc commit: a55dd71d5fb0ec5a6a3a9e8c27b2127ba491ce52 (kesin versiyon tespiti)
"Couldn't create ransom note": Fidye Yazısı Doğrulaması
Couldn't create ransom note
-- Doğrudan kaynak kod içindeki Türkçe değil, İngilizce hata mesajı
-- Rust `unwrap()`/`expect()` hata zincirleri:
- `fs::write("README_NOKO.txt", ransom_text).expect("Couldn't create ransom note")`
-- Bu string'in varlığı: programın kesinlikle fidye yazılımı olduğunu kanıtlıyor
-- Fidye notu dosyası: muhtemelen "README_NOKO.txt" veya "DECRYPT_NOKO.txt"
--config base64: Operatör Tarafından Yapılandırılabilir Fidye
--config <base64 encoded config> (to start full encryption) --config <base64 encoded config> --file <filePath> (encrypt selected file) -- Komut satırı argümanı: şifreleme anahtarı + hedef uzantı listesi base64 ile iletiliyor -- İki mod: 1. Tam şifreleme: --config <B64> → tüm hedef dosyaları şifrele 2. Seçici şifreleme: --config <B64> --file <yol> → tek dosya şifrele -- Modüler mimari: key material komut satırında → farklı kurban, farklı anahtar -- Bu mimari: RaaS (Ransomware-as-a-Service) operasyonlarında yaygın - Affiliate: C2'den kurba-spesifik config alır → çalıştırır - Kurban anahtar tanımlayıcısı: sadece operatörde
SystemFunction036 (RtlGenRandom): Kriptografik Anahtar Üretimi
SystemFunction036 (ADVAPI32.dll) -- "SystemFunction036" = RtlGenRandom'un resmi olmayan dışa aktarılan adı -- Kriptografik olarak güvenli rastgele sayı üreteci (CSPRNG) -- Kullanım: şifreleme anahtarı üretimi → her dosya için benzersiz anahtar veya session anahtarı → public key ile şifrelenir → fidye notu içine gömülür -- Rust: `SystemFunction036` Windows API'yi doğrudan çağırıyor (FFI) -- Neden önemli: CSPRNG kullanımı → şifreleme kırılamaz (MT_rand/rand() değil)
FindFirstVolumeW + GetVolumePathNamesForVolumeNameW: Çok Sürücülü Hedefleme
FindFirstVolumeW -- tüm volume'ları tara (C:, D:, E:, ağ sürücüleri) GetVolumePathNamesForVolumeNameW -- her volume için mount point'leri al SetVolumeMountPointW -- volume mount noktasını değiştir (opsiyonel) GetDriveTypeW -- sürücü tipi: sabit, ağ, USB, CD → seçici hedefleme DeviceIoControl -- disk-level kontrol: volume kilitleme veya MFT erişim -- Fidye yazılımı hedefleme stratejisi: 1. FindFirstVolumeW → volume GUID'leri tara 2. GetVolumePathNamesForVolumeNameW → her volume'ün yolunu al 3. GetDriveTypeW → ağ sürücüsü mü? USB mi? → hedef listesi kur 4. Her hedef volume'daki dosyaları şifrele -- Ağ paylaşımları hedeflenir: kurumsal ortamlarda NAS ve file server şifreleme! -- CreateMutexA: çoklu çalışmayı önle (bir kurban makinada tek instance)
IOC
| SHA256 | 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6 |
|---|---|
| PDB Proje | noko (Y:\noko\target\release\deps\noko.pdb) |
| Aile | NokoRansomware (Rust) |
NokoRansomware — Malware Profile
Rust ransomware. PDB Y:\noko\target\release\deps\noko.pdb. Operator-configurable base64 CLI config. SystemFunction036 RtlGenRandom key gen. FindFirstVolumeW multi-drive encryption. Volume mount enumeration. CreateMutexA anti-reinfection.
Malware Type
Ransomware
Programming Language
Rust
C2 Protocol
Offline/CLI
Target Systems
Küresel
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (2 indicators)
IOC — NokoRansomware
# SHA256
7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6
# SHA256
7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6
| Type | Value | Note |
|---|---|---|
| sha256 | 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6 | |
| sha256 | 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6 |