Manuel Statik Analiz — Babuk Ransomware | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 5874159ac61ab034422400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | mmd khr.exe (boşluklu isim — analiz araçlarını zorluyor) |
| Boyut | 422.400 byte |
| String Sayisi | 2.355 |
Telegram Müzakere Kanalı
Taktik: Babuk, geleneksel Tor portalı yerine Telegram üzerinden müzakere yapıyor!
"Write the Chat_ID in the email subject." "Chat_ID = %s" -- Her kurban için benzersiz Telegram Chat ID üretiliyor -- Email konusuna Chat_ID yazarak iletişim kuruluyor -- Telegram = anonim, şifreli, takip edilmesi zor kanal
Fidye Notu
!!! Your files have been encrypted !!! Before paying you can send 2-3 files less than...
Babuk Hakkında
Babuk, 2021'de Washington DC Polis Departmanı'nı hedef almasıyla tanınan RaaS grubudur. Kaynak kodu 2021'de sızdırıldı ve onlarca spin-off (ESXiArgs, RTM Locker, vb.) ortaya çıktı. VMware ESXi hedefleyen ilk fidye yazılımlarından biridir.
IOC
| SHA256 | 5874159ac61ab034422400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Müzakere | Telegram Chat_ID (email yoluyla) |
BabukRansom — Malware Profile
Babuk 2021 DC Polisi saldirisi. ESXi hedef. Kaynak kodu sizdirma → spin-off. Telegram muzakere.
Malware Type
Ransomware
Programming Language
C
C2 Protocol
Telegram/Email
Target Systems
Kuresel Kurumsal/Kamu
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — BabukRansom
# SHA256
5874159ac61ab034422400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 5874159ac61ab034422400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=62 |