Bu rehber, gerçek BlackCat örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 2 IP, 2 domain, 1 registry).

BlackCat Nedir?

BlackCat, ilk olarak 2021 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. Rust programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

BlackCat (ALPHV) is a Rust-based RaaS. Triple extortion, cross-platform (Windows/Linux/ESXi). Related to DarkSide/BlackMatter lineage. Major attacks 2022-2024.

Atıf / Tehdit Aktörü: ALPHV (linked to DarkSide/BlackMatter)

Teknik Detay: BlackCat (ALPHV) is the first major ransomware written in Rust, enabling cross-platform attacks on Windows, Linux, and VMware ESXi. Emerged November 2021 as a RaaS operation. Triple extortion: file encryption + data exfiltration + DDoS threats. Uses AES-128 (CTR mode) or ChaCha20 for file encryption

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek BlackCat örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
1d6d47bf20d21b860d232a358481c477c36491134ea976372c69a0483e05a556SHA256BlackCat
38d5f4f37686dab8b082b591224e272883644caab6a814e7751981da00523c51SHA256BlackCat
40da7968b86654b9af30178540a4cacaf1c61476c4fcb95e438697bb5e47854fSHA256BlackCat
df8d000833243acc0004595b3a8d4b66fcd7b76d8685d5c2ff61ee2a40a0e92cSHA256BlackCat
4729c95c7b1da0c7176d100bb5fccea3b1c467f295e37677fab3b50d41ff1ff0SHA256BlackCat
06c88ddc3cc18c4e7d5dc7a8a5de6477MD5BlackCat
5ec0db562fbf982be4d10db97aef0c81MD5BlackCat
392cbe841c7bb1ead1a00213e750648cMD5BlackCat
a0cd8aa1cd7cc61d41977cceacd7d4f6MD5BlackCat
9adec3dda8427bf36fb83f6c384da2c5MD5BlackCat

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — BlackCat Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Registry Anahtarlarını Temizleyin

Silinecek Registry Anahtarları

Analizde BlackCat'ın oluşturduğu veya değiştirdiği registry girdileri. Win+Rregedit ile yönetici olarak açın:

  • HKCUSoftwareMicrosoftWindowsCurrentVersionRunBlackCat — BlackCat autorun registry

Dikkat: Registry'den yanlış kayıt silmek sisteme zarar verebilir. Emin değilseniz önce yedek alın.

Adım 5 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 6 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen BlackCat C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

Domain Adresleri

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Şifrelenmiş Dosyaların Kurtarılması

Fidye Ödemeyin

Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.