Manuel Statik Analiz — BlackSuit Ransomware | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 06ca930b3531eacf20935155b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c |
|---|---|
| Dosya Adı | macOSx_merged.zip → python311.dll (4.9MB) |
| Boyut | 20.935.155 byte (20MB) |
| String Sayisi | 34.950 |
python311.dll: Gömülü Python 3.11
PYTHON 3.11: Tam Python interpreter ransomware içinde!
python311.dll -- Python 3.11 DLL (Windows Python interpreter) -- BlackSuit: 20MB boyutu = Python 3.11 runtime dahil! -- "macOSx_merged" = macOS + Windows çapraz platform ZIP -- Neden Python? Python: dosya şifreleme, ağ, kripto kütüphaneleri hazır -- ctypes/cffi ile native Windows API çağrısı -- AV: "python311.dll" = meşru Python DLL → imzasız tarama atlanır
cannot calculate path configuration without GIL
cannot calculate path configuration without GIL -- "GIL" = Global Interpreter Lock (Python'un tek thread kilidi) -- Python 3.11 no-GIL deneysel özelliği ile ilgili hata mesajı -- "path configuration" = sys.path / Python modül yolu -- Python 3.12+ deneysel: GIL kaldırma (free-threaded Python) -- BlackSuit: multi-threaded şifreleme için GIL sorunuyla karşılaşıyor
CPython Geliştirici E-postaları
amauryfa@gmail.com -- Amaury Forgeot d'Arc (CPython core geliştirici) mike.verdone@gmail.com -- Mike Verdone (Python developer) -- Python'un CREDITS dosyasından (gömülü Python kaynak metaverisi) -- Bu e-postalar CPython'un meşru geliştiricileri → FP -- Ama varlıkları BlackSuit'in tam Python 3.11 runtime gömüldüğünü kanıtlar
IOC
| SHA256 | 06ca930b3531eacf20935155b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c |
|---|---|
| Runtime | python311.dll (Python 3.11 tam runtime) |
| Platform | macOS + Windows çapraz platform |
BlackSuit — Malware Profile
BlackSuit Royal ransomware halefi. Python 3.11 runtime gömülü. macOS + Windows. cpython311.dll. çapraz platform.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
—
Target Systems
Windows/Linux
Technical Details
Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — BlackSuit
# DOMAIN
gmail.com
| Type | Value | Note |
|---|---|---|
| domain | gmail.com |