Manuel Statik Analiz — Cryakl Ransomware | Tehdit: KRİTİK

Dosya Kimliği

SHA2560442cfabb3212644c4b894a7e4a7e84c00fd23489cc4f9b3c5a4f7d0e2b6c9f1
Boyut379.392 byte (370KB)
String Sayisi2.092

C2 Sunucuları: Rusya Online Alışveriş Domainleri

C2 TESPİT: İki Rusya C2 sunucusu!
http://shopping-na-divane.ru/system/logs/tool/inst.php
http://shoptorgvlg.ru/system/logs/tool/inst.php
-- "shopping-na-divane.ru" = Rusçada "kanepede alışveriş" (slang)
-- "shoptorgvlg.ru" = shop + torg (Rusça ticaret) + vlg (Volgograd kısaltması?)
-- Ortak yol: /system/logs/tool/inst.php (aynı panel!)
-- "inst.php" = installation gate (kurban kaydı + decryption fee)
-- HTTP: şifresiz iletişim → fidye yazışmaları düz metin!
-- iki domain: yedek C2 (birisi düşerse diğeri devreye girer)

Ransomware Şifreleme Hedefleri: Tasarım + Veritabanı + 3D

HEDEF LİSTESİ: Şifrelenecek dosya uzantıları tam listesi!
psd:zip:ert:bak:xml:cf:mdf:fil:spr:accdb:abf:a3d:asm:fbx:fbw:fbk:fdb:fbf:max:m3d:dbf:[...]
-- psd  = Adobe Photoshop (tasarım dosyaları)
-- mdf  = SQL Server veritabanı (kurumsal DB)
-- accdb = Microsoft Access veritabanı
-- fbx  = Autodesk FBX (3D model)
-- max  = 3ds Max sahne dosyası
-- m3d  = Motion 3D modeli
-- asm  = Assembly kaynak kodu
-- dbf  = dBase veritabanı
-- Hedef sektör: tasarım firmaları, mimarlık, 3D stüdyolar, kurumsal DB
-- ZIP de dahil: backup arşivleri de şifreliyor!

IOC

SHA2560442cfabb3212644c4b894a7e4a7e84c00fd23489cc4f9b3c5a4f7d0e2b6c9f1
C2-1shopping-na-divane.ru/system/logs/tool/inst.php
C2-2shoptorgvlg.ru/system/logs/tool/inst.php

Cryakl — Malware Profile

Cryakl FortCrypt ransomware. Russian shop C2 domains. inst.php gate. Encrypts design/DB/3D files.

Malware Type
Ransomware
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Rusya/BDT

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — Cryakl
# SHA256 0442cfabb3212644c4b894a7e4a7e84c00fd23489cc4f9b3c5a4f7d0e2b6c9f1
TypeValueNote
sha256 0442cfabb3212644c4b894a7e4a7e84c00fd23489cc4f9b3c5a4f7d0e2b6c9f1

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
shopping-na-divane.ru domain 80 HTTP inactive —
shoptorgvlg.ru domain 80 HTTP inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
cryaklransomwareshopping-na-divane-ru-russia-c2shoptorgvlg-ru-russia-c2psd-mdf-accdb-fbx-extension-listrussia-shop-domainsinst-php-gatedesign-database-3d-targeted