Bu rehber, gerçek LockBit örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

LockBit Nedir?

LockBit, ilk olarak 2019 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

LockBit is one of the most prolific ransomware families (LockBit 2.0/3.0). RaaS model, fast encryption, data exfil. Targets enterprises globally.

Atıf / Tehdit Aktörü: NULL

Teknik Detay: C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek LockBit örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
e90bd4ffc09f362b480fd8b751fc055476bb250e33236230d5058bc73c04ee36SHA256LockBit
180e93a091f8ab584a827da92c560c78f468c45f2539f73ab2deb308fb837b38SHA256LockBit
7df420f9c3846e357c6667378c6430fb32f9c964f4cc48838e61d2ba1d019519SHA256LockBit
374f9df39b92ccccae8a9b747e606aebe0ddaf117f8f6450052efb5160c99368SHA256LockBit
4b0b22299315c31d97f823dce6da039fcc9c9d2dbcf141feb218f9939164a1a3SHA256LockBit
2d6fc7281e8fa096f87e7c5b60ed9034MD5LockBit
5e1f61b9c1c27cad3b7a81c804ac7b86MD5LockBit
a4fdb2c382d874c8cb72ab67842cad72MD5LockBit
9b309cd7a3c63cf9ed694f37207d8958MD5LockBit
85bfec102e0174e96e413f35bf29a1c7MD5LockBit

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — LockBit Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Şifrelenmiş Dosyaların Kurtarılması

Fidye Ödemeyin

Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.