Derin PE Analizi — NokoRansomware (Rust) | Tehdit: KRİTİK

Dosya Kimliği

SHA2567095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6
Dosya Adı7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6 (salt hash ismi — uzantısız)
TürPE32+ (x86-64), Rust release binary, 6 sections
Boyut~458 KB
Entropi6.271825 (normal — Rust release binary sıkıştırılmamış)

Y:\noko\target\release\deps\noko.pdb: Rust Proje PDB Sızıntısı

PDB ATTRIBUTION: Fidye yazılımının kaynak proje adı ve geliştirici yapı ortamı tespit edildi!
Y:\noko\target\release\deps\noko.pdb
┌──────────────────────────────────────────────────────────
│ Sürücü harfi  : Y:\ (ağ paylaşımı veya sanal sürücü)
│ Proje adı     : noko (→ "NokoRansomware")
│ Build türü    : release (optimize edilmiş, yayın)
│ Build sistemi : Cargo (Rust paket yöneticisi)
│ Alt yol       : target\release\deps\ (Cargo standart çıktı)
└──────────────────────────────────────────────────────────
-- "noko": projenin Cargo.toml'deki [package] name = "noko"
-- Y:\ sürücüsü: geliştirici mapped network drive'da çalışıyor
-- release build: deployment hazır, debug sembolleri optimize kaldırıldı
-- Rust PDB: Rust binary'lerde nadir — geliştiricinin debug info ürettiğinin kanıtı
-- Rustc commit: a55dd71d5fb0ec5a6a3a9e8c27b2127ba491ce52 (kesin versiyon tespiti)

"Couldn't create ransom note": Fidye Yazısı Doğrulaması

Couldn't create ransom note
-- Doğrudan kaynak kod içindeki Türkçe değil, İngilizce hata mesajı
-- Rust `unwrap()`/`expect()` hata zincirleri:
  - `fs::write("README_NOKO.txt", ransom_text).expect("Couldn't create ransom note")`
-- Bu string'in varlığı: programın kesinlikle fidye yazılımı olduğunu kanıtlıyor
-- Fidye notu dosyası: muhtemelen "README_NOKO.txt" veya "DECRYPT_NOKO.txt"

--config base64: Operatör Tarafından Yapılandırılabilir Fidye

--config <base64 encoded config> (to start full encryption)
--config <base64 encoded config> --file <filePath> (encrypt selected file)

-- Komut satırı argümanı: şifreleme anahtarı + hedef uzantı listesi base64 ile iletiliyor
-- İki mod:
  1. Tam şifreleme: --config <B64> → tüm hedef dosyaları şifrele
  2. Seçici şifreleme: --config <B64> --file <yol> → tek dosya şifrele
-- Modüler mimari: key material komut satırında → farklı kurban, farklı anahtar
-- Bu mimari: RaaS (Ransomware-as-a-Service) operasyonlarında yaygın
  - Affiliate: C2'den kurba-spesifik config alır → çalıştırır
  - Kurban anahtar tanımlayıcısı: sadece operatörde

SystemFunction036 (RtlGenRandom): Kriptografik Anahtar Üretimi

SystemFunction036  (ADVAPI32.dll)
-- "SystemFunction036" = RtlGenRandom'un resmi olmayan dışa aktarılan adı
-- Kriptografik olarak güvenli rastgele sayı üreteci (CSPRNG)
-- Kullanım: şifreleme anahtarı üretimi → her dosya için benzersiz anahtar veya
  session anahtarı → public key ile şifrelenir → fidye notu içine gömülür
-- Rust: `SystemFunction036` Windows API'yi doğrudan çağırıyor (FFI)
-- Neden önemli: CSPRNG kullanımı → şifreleme kırılamaz (MT_rand/rand() değil)

FindFirstVolumeW + GetVolumePathNamesForVolumeNameW: Çok Sürücülü Hedefleme

FindFirstVolumeW              -- tüm volume'ları tara (C:, D:, E:, ağ sürücüleri)
GetVolumePathNamesForVolumeNameW -- her volume için mount point'leri al
SetVolumeMountPointW          -- volume mount noktasını değiştir (opsiyonel)
GetDriveTypeW                 -- sürücü tipi: sabit, ağ, USB, CD → seçici hedefleme
DeviceIoControl               -- disk-level kontrol: volume kilitleme veya MFT erişim

-- Fidye yazılımı hedefleme stratejisi:
  1. FindFirstVolumeW → volume GUID'leri tara
  2. GetVolumePathNamesForVolumeNameW → her volume'ün yolunu al
  3. GetDriveTypeW → ağ sürücüsü mü? USB mi? → hedef listesi kur
  4. Her hedef volume'daki dosyaları şifrele
-- Ağ paylaşımları hedeflenir: kurumsal ortamlarda NAS ve file server şifreleme!
-- CreateMutexA: çoklu çalışmayı önle (bir kurban makinada tek instance)

IOC

SHA2567095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6
PDB Projenoko (Y:\noko\target\release\deps\noko.pdb)
AileNokoRansomware (Rust)

NokoRansomware — Malware Profile

Rust ransomware. PDB Y:\noko\target\release\deps\noko.pdb. Operator-configurable base64 CLI config. SystemFunction036 RtlGenRandom key gen. FindFirstVolumeW multi-drive encryption. Volume mount enumeration. CreateMutexA anti-reinfection.

Malware Type
Ransomware
Programming Language
Rust
C2 Protocol
Offline/CLI
Target Systems
Küresel

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (2 indicators)

IOC — NokoRansomware
# SHA256 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6 # SHA256 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6
TypeValueNote
sha256 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6
sha256 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6
Tags
nokoransomwarenoko-ransomwarerust-ransomwarenoko-pdb-y-drive-rust-projectcouldnt-create-ransom-note-confirmed-ransomwarebase64-encoded-config-cli-operator-configurablesystemfunction036-rtlgenrandom-key-generationfindFirstVolumew-getvolumepathnames-multi-drive-encryptiongetdrivetypew-drive-enumerationdeviceiocontrol-volume-controlcreatemutex-anti-reinfectionsuspicious-imagebase-pe-anomaly