Dosya Kimliği
| SHA256 | 5671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Boyut | 1.095.680 byte (1MB) |
| String Sayisi | 5.092 |
Fidye Ödeme İletişim Kanalı
decoder@firemail.cc -- Dharma gizli email servisi firemail.cc kullanıyor -- firemail.cc = anonimleştirilmiş geçici email servisi -- "decoder" = şifre çözücü rolünü vurgulayan takma ad -- Kurban bu adrese benzersiz ID göndererek şifre alıyor -- Firemail.cc hesabı AV/LEA takibinden zor tespit edilir
BTC Fidye Cüzdanları
13bpPxtiX48ccfV6ampj4kpfz3wLuvtp1lW 13URQhAKhdqlxZUgBBiGwHEsbLuGaWpkMhk 16B36iaXXDRde... -- Birden fazla Bitcoin cüzdanı: farklı kurban grupları veya operatörler -- "13" prefix: SegWit olmayan (P2PKH) Bitcoin adresi -- Yüksek değerli transfer alıyorsa blockchain'de izlenebilir
Kalıcılık Mekanizmaları
schtasks /CREATE /SC ONLOGON /... -- Her kullanıcı girişinde çalışır: SC ONLOGON (scheduled task) -- Her sistem açılışında yeniden şifreleme/kontrol reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ -- Registry Policies key'i: kullanıcı politika değişiklikleri -- Explorer engellemeleri veya güvenlik politikası değişikliği
Dharma/CrySiS Hakkında
Dharma (CrySiS) 2016'da Rusya kaynaklı RaaS'tır. Kaynak kodu 2016'da sızdı, onlarca varyant ortaya çıktı. Phobos (batch 49) da Dharma fork'udur. 850+ uzantı varyantı mevcuttur: .dharma, .cezar, .java, .combo, .arrow, .bip, .betta. RDP brute force ile yayılır.
IOC
| SHA256 | 5671112c276673ee1095680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| decoder@firemail.cc | |
| BTC 1 | 13bpPxtiX48ccfV6ampj4kpfz3wLuvtp1lW |
| BTC 2 | 13URQhAKhdqlxZUgBBiGwHEsbLuGaWpkMhk |
| Kalıcılık | schtasks /CREATE /SC ONLOGON + Registry Policies |
Dharma — Malware Profile
Dharma ransomware. firemail.cc email iletisim. wmic shadowcopy delete yedek imhasi. Crypto++ RSA+AES. Çok yıllık aktif.
Technical Details
Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma
Capabilities & Behavior
IOC List (3 indicators)
#
13bpPxtiX48ccfV6ampj4kpfz3wLuvtp1lW
#
13URQhAKhdqlxZUgBBiGwHEsbLuGaWpkMhk
# EMAIL
decoder@firemail.cc
| Type | Value | Note |
|---|---|---|
| 13bpPxtiX48ccfV6ampj4kpfz3wLuvtp1lW | ||
| 13URQhAKhdqlxZUgBBiGwHEsbLuGaWpkMhk | ||
| decoder@firemail.cc |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| firemail.cc | domain | 443 | HTTPS | active | — |
| uncryptfile.com | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.