Manuel Statik Analiz — Dharma/CrySis Ransomware | Tehdit: KRİTİK

Dosya Kimliği

SHA2565671112c276673ee1da43aa1a30d8ca42c9f7e5e56dae4be25cdd5eab0c3a8f1
Dosya AdıVirusShare sample (1.1MB PE)
String Sayisi5.092

decoder@firemail.cc: Kurban Fidye İletişim E-postası

RANSOMWARE CONTACT: Dharma fidye notu kurban bu adrese yazıyor!
decoder@firemail.cc
-- "decoder" = şifre çözücü (decryptor) sahibi
-- "firemail.cc" = anonim ücretli e-posta servisi
  - .cc = Cocos Islands TLD (anonim)
  - firemail.cc: kayıt gerektirmeyen geçici e-posta
-- Kurban fidyeyi ödeyince "decoder" e-posta üzerinden decryptor alıyor
-- Dharma fidye notu: "Contact us: decoder@firemail.cc"
-- Bu e-posta: şifre çözme anahtarını Dharma aktörü tutuyor
-- Dharma/CrySis: 2016'dan beri aktif, en uzun yaşayan fidye yazılımı
  - Builder sızıntısı: darknet'te satıldı → yüzlerce alt grup
  - Her kurban için farklı RSA anahtar çifti

wmic shadowcopy delete: Windows Yedek Kopyaları Silme

YEDEK İMHA: Şifreli dosyaları Shadow Copy'den kurtarmayı engelliyor!
start cmd.exe /c wmic shadowcopy delete
-- "wmic" = Windows Management Instrumentation CLI
-- "shadowcopy delete" = TÜM Windows gölge kopyalarını sil!
-- "start cmd.exe /c" = komut satırı aracılığıyla çalıştır
  - "/c" = komut bittikten sonra kapat
  - "start" = yeni süreçte çalıştır (ransomware beklemez)
-- Kurbanın Windows Sistem Geri Yükleme noktaları imha ediliyor!
-- "Previous Versions" özelliği: artık çalışmıyor
-- Bu komut: fidye ödemesi için kurtarma yollarını kapatıyor

Crypto++ PK_Signer / TF_SignerBase: RSA Anahtar Şifrelemesi

PK_Signer: key too short for this signature scheme
TF_SignerBase: this algorithm does not support a key this short
-- Crypto++ (CryptoPP) kütüphanesi hata stringleri
-- "PK_Signer" = Crypto++ imza sınıfı (RSA/DSA/ECDSA)
-- "TF_SignerBase" = Crypto++ trapdoor fonksiyonu imza tabanı
-- Dharma: dosya şifreleme anahtarlarını RSA ile şifreler
  - Her kurban için farklı AES oturum anahtarı
  - AES anahtarı saldırganın RSA public key'i ile şifrelenir
  - Özel RSA anahtarı olmadan AES anahtarı kırılamaz
-- Bu stringler: RSA anahtar boyutu kontrolü (minimum 1024 bit)

Çift Zamanlama Anti-Debug

GetTickCount64   -- yüksek çözünürlüklü timer (64-bit)
GetTickCount     -- standart timer (32-bit)
-- İkili timer karşılaştırması: debugger varlığını tespit eder
-- Debug modunda: timer farkı normalden büyük → çalışmayı durdur

IOC

SHA2565671112c276673ee1da43aa1a30d8ca42c9f7e5e56dae4be25cdd5eab0c3a8f1
Fidye Emailidecoder@firemail.cc

DharmaCrySis — Malware Profile

Dharma/CrySis ransomware. decoder@firemail.cc contact email. wmic shadowcopy delete backup removal. Crypto++ RSA encryption. 2016-present, builder leaked on darknet.

Malware Type
Ransomware
Programming Language
C++
C2 Protocol
SMTP/Email
Target Systems
Küresel/Kurumsal

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — DharmaCrySis
# SHA256 5671112c276673ee1da43aa1a30d8ca42c9f7e5e56dae4be25cdd5eab0c3a8f1
TypeValueNote
sha256 5671112c276673ee1da43aa1a30d8ca42c9f7e5e56dae4be25cdd5eab0c3a8f1
Tags
dharmacrysisransomwaredecoder-firemail-cc-ransom-contact-emailfiremail-ccwmic-shadowcopy-delete-backup-removal-techniquecryptopp-pk-signer-tf-signerbase-rsa-encryptioncmd-exe-wmic-shadow-copygettickcnt64-dual-anti-debug