Cl0p | Tehdit Seviyesi: critical | Tür: Ransomware
Kriptografik Tanımlayıcılar
| SHA256 | 09d6dab9b70a74f61c41eaa485b37de9a40c86b6d2eae7413db11b4e6a8256ef |
|---|---|
| MD5 | 31e0439e6ef1dd29c0db6d96bac59446 |
| Dosya Türü | elf |
| Boyut | 1221.0 KB |
| İlk Görülme | 2023-02-09 |
| Dosya Adı | 09d6dab9b70a74f61c41eaa485b37de9a40c86b6d2eae7413db11b4e6a8256ef |
| Etiketler | cl0p, elf, Ransomware |
Malware Ailesi: Cl0p
Cl0p, 2023 MOVEit saldırısıyla tanındı.
| Tür | Ransomware |
|---|---|
| Programlama Dili | C |
| Hedef Platform | Windows |
| C2 Protokolü | — |
| Amaç | MOVEit istismarı |
| İlk Görülen Yıl | 2019 |
Tehdit Göstergeleri (IOC)
- SHA256:
09d6dab9b70a74f61c41eaa485b37de9a40c86b6d2eae7413db11b4e6a8256ef - MD5:
31e0439e6ef1dd29c0db6d96bac59446
Sistem Temizleme Rehberi
- Sistemi ağdan DERHAL ayırın — diğer cihazlara yayılmayı durdurun
- Fidye ödemeyin — dosyaları geri alma garantisi yoktur
- Etkilenen sürücüleri karantinaya alın
- Kullanılan fidye yazılımı ailesini belirleyin (nomoreransom.org)
- Mevcut decryptor tool'ları deneyin (NoMoreRansom projesi)
- Yetkililere ihbarda bulunun
- Temiz bir yedekten kurtarın
YARA Kuralı İpuçları
rule Cl0p_SHA256 {
meta:
description = "Cl0p sample: 09d6dab9b70a74f6"
threat_level = "critical"
first_seen = "2023-02-09"
condition:
hash.sha256(0, filesize) == "09d6dab9b70a74f61c41eaa485b37de9a40c86b6d2eae7413db11b4e6a8256ef"
}
Cl0p — Malware Profile
Cl0p, 2023 MOVEit saldırısıyla tanındı.
Malware Type
Ransomware
Programming Language
C
C2 Protocol
—
Target Systems
Windows
Technical Details
Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (4 indicators)
IOC — Cl0p
# SHA256
09d6dab9b70a74f61c41eaa485b37de9a40c86b6d2eae7413db11b4e6a8256ef
# SHA256
09d6dab9b70a74f61c41eaa485b37de9a40c86b6d2eae7413db11b4e6a8256ef
# MD5
31e0439e6ef1dd29c0db6d96bac59446
# MD5
31e0439e6ef1dd29c0db6d96bac59446
| Type | Value | Note |
|---|---|---|
| sha256 | 09d6dab9b70a74f61c41eaa485b37de9a40c86b6d2eae7413db11b4e6a8256ef | MB:Cl0p |
| sha256 | 09d6dab9b70a74f61c41eaa485b37de9a40c86b6d2eae7413db11b4e6a8256ef | MB:Cl0p |
| md5 | 31e0439e6ef1dd29c0db6d96bac59446 | MB:Cl0p |
| md5 | 31e0439e6ef1dd29c0db6d96bac59446 | MB:Cl0p |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 154.53.38.164 | ip | 443 | HTTPS | active | RU |
| 167.235.25.166 | ip | 443 | HTTPS | inactive | DE |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.