Bu rehber, gerçek MedusaLocker örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 2 IP, 1 domain, 1 registry, 1 mutex).

MedusaLocker Nedir?

MedusaLocker, ilk olarak 2020 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

MedusaLocker, Fidye Yazılımı (Ransomware) kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, kurban sistemindeki dosyaları şifreleyerek erişimi engelleyen ve şifre çözme anahtarı karşılığında fidye talep eden bir fidye yazılımı olarak analiz edilmiştir. Güçlü asimetrik şifreleme algoritmalarını kullanan bu tehdit aktörü, şifreleme sonras

Atıf / Tehdit Aktörü: NULL

Teknik Detay: Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek MedusaLocker örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
15208030eda48b3786f7d85d756d2bd6596ef0f465d9c8509a8f02c53fad9a10SHA256NULL
c966ace15bece19a119231dfaa2494f14200647fc7cb225667fb22cbb41436fdSHA256NULL
2d5ccda5da8e0df18a0a45b316fcc34dee7865f8b21ed5cb5922cb19e5f66314SHA256NULL
84cc889ff7286bccfe7d76a92565a8c1404cfee4fd6cfb22139ddaa5c11d9508SHA256NULL
6d000a159fe10af1b29ddf4e4015931a9e9d0a020aeef0c602d8c5419b5966e6SHA256NULL
60aaafce354ae5e0b8115729464a8b24MD5NULL
cd2424e55fdcba12cd9ddda9c8c2b283MD5NULL
0fd8799c9b983c2444c24f528c362e76MD5NULL
cb28fedb96c71cfb4e5b6a0965ef25d2MD5NULL
8ba3a306f5550374490030ea472f2f92MD5NULL

Süreç Tespiti — Mutex Değerleri

Process Explorer veya Process Hacker ile aşağıdaki mutex değerlerini arayın; bu değerlerin varlığı aktif MedusaLocker enfeksiyonuna işaret eder:

  • Global_MedusaLocker_Mutex

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — MedusaLocker Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Mutex listesini (yukarıdaki bölüm) Process Hacker ile kontrol edin.

Adım 4 — Registry Anahtarlarını Temizleyin

Silinecek Registry Anahtarları

Analizde MedusaLocker'ın oluşturduğu veya değiştirdiği registry girdileri. Win+Rregedit ile yönetici olarak açın:

  • HKCUSoftwareMicrosoftWindowsCurrentVersionRunMedusa — MedusaLocker autorun

Dikkat: Registry'den yanlış kayıt silmek sisteme zarar verebilir. Emin değilseniz önce yedek alın.

Adım 5 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 6 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen MedusaLocker C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

Domain Adresleri

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Şifrelenmiş Dosyaların Kurtarılması

Fidye Ödemeyin

Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.