Manuel Statik Analiz — Babuk Ransomware | Tehdit: YUKSEK

Dosya Kimliği

SHA256624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut2.044.928 byte (2MB)
String Sayisi5.076

AES-GCM Kimlik Doğrulamalı Şifreleme

additional authenticated data (AAD) cannot be input after data to be encrypted
-- AES-GCM (Galois/Counter Mode) — kimlik doğrulamalı şifreleme
-- AAD = "Additional Authenticated Data" (ek kimlik doğrulama)
-- AES-GCM ile veriler hem şifrelenir hem imzalanır
-- AAD sayesinde şifreli veri bütünlüğü doğrulanabilir
-- Fidye kodu AES-GCM kullanıyor: fidye anahtar doğrulama mekanizması

Üçlü Anti-Debug

GetTickCount64  -- 64-bit zaman ölçüm
GetTickCount    -- 32-bit zaman ölçüm (eski sistemler)
IsDebuggerPresent -- Windows API debugger tespiti
-- Üçlü tespit: farklı hız/yöntemle debugger varlığını kontrol

IOC

SHA256624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
ŞifrelemeAES-GCM (AAD ile kimlik doğrulamalı)

Babuk2 — Malware Profile

Babuk RaaS 2021 Rusya. AES-GCM AAD kimlik dogrulama sifreli. GetTickCount64 uclu anti-debug. Kurban kaynak kodu sizdi.

Malware Type
Ransomware
Programming Language
C
C2 Protocol
HTTPS
Target Systems
Küresel Kurumsal

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — Babuk2
# SHA256 624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
babuk2ransomwareaes-gcm-aadadditional-authenticated-datagettickcpunt64triple-anti-debuggcm-encryption