Manuel Statik Analiz — Cl0p Ransomware | Tehdit: KRITIK
Dosya Kimligi
| SHA256 | f55e4553ed04f085bc5b93cf7e5386c3d938abcb13a95ef1d2c11b21c16c05a |
|---|---|
| Boyut | 336.384 byte |
| String Sayisi | 1.647 |
RSA Public Key Kaniti
3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe... -- DER formatli RSA public key (ASN.1 sekans) CryptImportPublicKeyInfo -- RSA anahtar import API -- Dosya sifreleme icin gomulu RSA public key
Hizli Sifreleme Altyapisi
CreateIoCompletionPort -- IOCP (I/O Completion Port) CreateMutexA -- Tekli instance kontrolu -- IOCP ile paralel dosya sifreleme (yuksek hiz)
Cl0p Hakkinda
Cl0p (Clop, CLOP), 2019'dan beri aktif FIN11 grubunun ransomware ailesidir. GOZi banker'dan evrilmis, kurumsal hedeflerde double-extortion (veri + sifreleme) uygular. MOVEit Transfer ve GoAnywhere MFT zaafiyetlerini istismar eden kampanyalariyla 2023'te yaygin tespid edilmistir. RSA-1024 ile AES anahtarini sifreler.
IOC
| SHA256 | f55e4553ed04f085bc5b93cf7e5386c3d938abcb13a95ef1d2c11b21c16c05a |
|---|---|
| Sifrelemec | RSA (gomulu public key) + AES |
Clop — Malware Profile
Cl0p (Clop), 2019 dan beri aktif FIN11 ransomware ailesidir. GOZi kaynaklı. MOVEit/GoAnywhere zaafiyetleri ile kitlesel veri hirsizligi. RSA-1024 + AES + IOCP hizli sifreleme.
Malware Type
Ransomware
Programming Language
C/C++
C2 Protocol
Email
Target Systems
Kuresel — Kurumsal, Saglik, Finans
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — Clop
# MUTEX
3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe
| Type | Value | Note |
|---|---|---|
| mutex | 3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe | BTC cüzdanı |