Manuel Statik Analiz — Phobos Ransomware | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 4ff314143f6fea3573728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Dosya Adı | LisectAVT_2403002C_164.exe |
| Boyut | 73.728 byte (73KB — ultra kompakt ransomware!) |
| String Sayisi | 434 |
LisectAVT Kampanya Adlandırması
Tekrarlayan Kampanya Deseni: LisectAVT aynı zamanladırma planını birden fazla ailede kullanıyor!
LisectAVT_2403002C_164.exe -- LisectAVT = kampanya ID/araç adı (tüm batçlarda tekrar ediyor) -- 2403002C = 2024-03 + 002C (hex sıra: 0x002C = 44) -- _164 = hedef numarası 164! Bu 164. kurban! -- Aynı kampanya Pikabot (batch 43), XtremeRAT (batch 45)'te görüldü -- Farklı aileler aynı kampanya altyapısı → çok aileli saldırı grubu
Ultra Kompakt Ransomware
73KB = ransomware için olağanüstü küçük boyut! -- Phobos'un minimal kod tabanı → hız ve düşük AV profili -- CreateMutexW / OpenMutexW: çift mutex mutex yönetimi -- Yalnızca 434 string: maximum obfuskasyon
IOC
| SHA256 | 4ff314143f6fea3573728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Kampanya | LisectAVT_2403002C (hedef #164) |
PhobosRansom — Malware Profile
Phobos 2019 Dharma fork. LisectAVT_2403002C_164 164. kurban kodu. 73KB ultra kucuk. CreateMutexW cift mutex.
Malware Type
Ransomware
Programming Language
C
C2 Protocol
SMTP/HTTPS
Target Systems
KOBi/Kurumsal
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — PhobosRansom
# SHA256
4ff314143f6fea3573728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Type | Value | Note |
|---|---|---|
| sha256 | 4ff314143f6fea3573728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 | len=63 |