Genel Bakış

B.crypted Ransomware, gelişmiş bir fidye yazılımıdır. Dosyaları .B.crypted uzantısıyla şifreleyerek Tor anonimlik ağı üzerinden ödeme talep eder. WMI kullanarak gölge kopyaları silen bu malware; özellikle Webroot, COMODO ve diğer güvenlik ürünlerini hedef alarak önce güvenlik süreçlerini sonlandırır, ardından şifrelemeye başlar.

Teknik Analiz

Tor C2 Altyapısı

  • C2 Adresi: 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
  • Ödeme/anahtar alımı Tor ağı üzerinden yapılmaktadır

Fidye Mesajı

"Your files have been encrypted."

"Content of your files have been modified. Without special key you can't undo that operation."

"We will give you special decryption program and instructions."

WMI ile Shadow Copy Silme

Standart vssadmin delete shadows komutu yerine WMI doğrudan kullanılmaktadır — bu yöntem bazı güvenlik araçları tarafından daha az tespit edilir:

select * from Win32_ShadowCopy
Win32_ShadowCopy.ID='%s'  → her kopyayı tek tek siler
  • ShadowProtectSvc — ShadowProtect yedekleme servisini durdurur
  • avshadow.exe — Webroot gölge kopya ajanını sonlandırır

Güvenlik Ürünü Kill Listesi

Şifrelemeden önce şu güvenlik süreçleri sonlandırılmaktadır:

SüreçÜrün
wrsa.exe / wrsa*Webroot SecureAnywhere Antivirus
avgrsa.exeAVG/Webroot entegrasyon ajanı
aesecurityservice.exeWebroot AES Security Service
avshadow.exeWebroot Shadow Copy Agent
cmdagent.exeCOMODO Internet Security
winvnc4.exe / WinVNC4UltraVNC uzak masaüstü
csinject.exeCrowdStrike Injection Module
prgateway.exeParallels Remote Application Server
prftpengine.exeParallels FTP Engine
bdredline.exeBitdefender RedLine Component
isntsmtp.exeSymantec SMTP Scanner
pxemtftp.exePXE TFTP Server (yedekleme altyapısı)
zoolz.exe / Zoolz 2 ServiceZoolz Cloud Backup
zonealarm.exeZoneAlarm Firewall
zlclient.exeZoneAlarm Client

PE Yapısı

  • Dosya Entropi: 2.67 (düşük — minimal obfüskasyon)
  • .shell bölümü (standart olmayan section adı)
  • TLS Directory mevcut (anti-debug potansiyeli)
  • Zero/invalid timestamp

Teknik Özellikler

ÖzellikDeğer
Uzantı.B.crypted
C2Tor onion (6x7dp6h3...)
VSS SilmeWMI Win32_ShadowCopy (vssadmin kullanmaz)
Güvenlik KillWebroot, COMODO, ZoneAlarm, Bitdefender, CrowdStrike
MimariPE32 x86

IOC Özeti

  • Tor C2: 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
  • Uzantı: .B.crypted
  • SHA256: 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2

IOC List (2 indicators)

IOC — B.crypted Ransomware
# SHA256 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2 # DOMAIN 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
TypeValueNote
sha256 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
domain 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion domain 443 custom inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
ransomwarebcryptedtoronionwmishadow-copywebrootcomodocrowdstrikezonealarmbitdefendervsskill-list