Manuel Statik Analiz — Cl0p Ransomware | Tehdit: KRITIK

Dosya Kimligi

SHA256f55e4553ed04f085bc5b93cf7e5386c3d938abcb13a95ef1d2c11b21c16c05a
Boyut336.384 byte
String Sayisi1.647

RSA Public Key Kaniti

3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe...
-- DER formatli RSA public key (ASN.1 sekans)
CryptImportPublicKeyInfo  -- RSA anahtar import API
-- Dosya sifreleme icin gomulu RSA public key

Hizli Sifreleme Altyapisi

CreateIoCompletionPort   -- IOCP (I/O Completion Port)
CreateMutexA             -- Tekli instance kontrolu
-- IOCP ile paralel dosya sifreleme (yuksek hiz)

Cl0p Hakkinda

Cl0p (Clop, CLOP), 2019'dan beri aktif FIN11 grubunun ransomware ailesidir. GOZi banker'dan evrilmis, kurumsal hedeflerde double-extortion (veri + sifreleme) uygular. MOVEit Transfer ve GoAnywhere MFT zaafiyetlerini istismar eden kampanyalariyla 2023'te yaygin tespid edilmistir. RSA-1024 ile AES anahtarini sifreler.

IOC

SHA256f55e4553ed04f085bc5b93cf7e5386c3d938abcb13a95ef1d2c11b21c16c05a
SifrelemecRSA (gomulu public key) + AES

Clop — Malware Profile

Cl0p (Clop), 2019 dan beri aktif FIN11 ransomware ailesidir. GOZi kaynaklı. MOVEit/GoAnywhere zaafiyetleri ile kitlesel veri hirsizligi. RSA-1024 + AES + IOCP hizli sifreleme.

Malware Type
Ransomware
Programming Language
C/C++
C2 Protocol
Email
Target Systems
Kuresel — Kurumsal, Saglik, Finans

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — Clop
# MUTEX 3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe
TypeValueNote
mutex 3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe BTC cüzdanı
Tags
clopransomwarersaiocpmutexsifreleme