Derin PE Analizi — LANRansomware | Tehdit: KRİTİK

Dosya Kimliği

SHA25648877a3a4c72c1daf3a80e3c034b56a04cec7ce3856887fed73e645e53c76b96
Boyut535,040 byte (PE32+ x86-64, 11 sections)
DilDelphi (System.SysUtils, FPC/Lazarus)
Entropi6.24 (normal — sıkıştırılmamış Delphi kodu)

folder_reserved_by_lan_encryptor: LAN Ağ Şifreleme

RANSOMWARE KANITI: LAN ve yerel disk şifreleme için ayrılmış klasör bayrakları!
folder_reserved_by_local_encryptor
folder_reserved_by_lan_encryptor

-- İki ayrı şifreleme modu:
  1. LOCAL: yerel disk şifreleme (C:, D:, vb.)
  2. LAN: ağ sürücüsü/paylaşım şifreleme (\\server\share)

-- "folder_reserved_by_*" mekanizması:
  - Her şifrelenmiş klasöre bu isimde boş bir dosya bırakır
  - Başka bir fidye yazılımı enkriptörü ile çakışmayı önler (mutex benzeri)
  - Şifreleme tamamlandığının işareti

-- LAN şifreleme akışı:
  1. Ağdaki paylaşımları bul (WNetOpenEnum veya NetShareEnum)
  2. Her paylaşıma bağlan
  3. "folder_reserved_by_lan_encryptor" dosyası oluştur
  4. Tüm dosyaları AES ECB ile şifrele
  5. Fidye notu bırak

-- Kurumsal ağ tehdidi: NAS, dosya sunucuları, tüm paylaşımlar şifrelenir

EncryptECB / DecryptECB: AES ECB Modu Şifreleme

EncryptECB
DecryptECB
AEScipher
SomePathEncryption / AEScipher
TAESData
EncryptionFuncs

-- AES ECB (Electronic Code Book) modu:
  - Her 16-byte blok bağımsız şifrelenir
  - Dezavantaj: aynı plaintext → aynı ciphertext (pattern korunur)
  - Ransomware'de yaygın: basit, hızlı, yeterince güvenli

-- "SomePathEncryption": dosya yolu da şifreleniyor (double extension değil)
  - Şifrelenmiş dosya adı → decrypt edilmeden açılamaz

-- Delphi AES implementasyonu: yerleşik Delphi crypto kütüphanesi
  TAESData = AES data yapısı
  AEScipher = şifreleme nesnesi

is_stealth / cmd_list / wipeonly: Operasyonel Bayraklar

is_stealth    -- gizli mod: UI gösterme, sessiz çalış
cmd_list      -- komut listesi: komut satırı parametreleri
/wipeonly     -- silme modu: şifreleme yerine sadece sil (destructive!)
selftest1.txt -- self-test: şifreleme doğrulama testi
HINT: Symlink processing is disabled
BREAK POINT:  -- debug output (geliştirme izleri)

-- is_stealth = True: başlık gösterme, tray'a gizlen → kullanıcı fark etmez
-- /wipeonly: şifreleme yapmadan dosyaları sil → geri dönüşü yok
  - Askeri/sabotaj amaçlı versiyonu
  - Fidye ödemesi de çözüm değil → veriler yok edilmiş
-- cmd_list: operatör tarafından parametrize edilebilir
  --stealth, --wipeonly, --no-lan, --no-local gibi argümanlar

TMonitor.PW: C2 Domain

TMonitor.PW
-- ".PW" TLD: Palau, C2 altyapısında kullanılan TLD
-- "TMonitor" = "Threat Monitor"? Fidye yönetim paneli domain
-- WSAStartup + closesocket + socket: ağ iletişimi aktif
-- Olası kullanım:
  1. C2 sunucusuna kurban ID + şifreleme anahtarını gönder
  2. Operatör panelden "decrypt key" sağlar → fidye ödenirse
  3. /wipeonly modunda: kurbanın şifrelemesi başlamadan haberdar et
-- "PRESS ENTER TO TERMINATE PROGRAMM": ransomware etkileşim notu

IOC

SHA25648877a3a4c72c1daf3a80e3c034b56a04cec7ce3856887fed73e645e53c76b96
C2tmonitor.pw
LAN Şifrelemefolder_reserved_by_lan_encryptor
Silme Modu/wipeonly flag

LANRansomware — Malware Profile

Tanimlanmamis Delphi tabanli LAN ransomware. AES-ECB ve AES-CTR modu sifrelemesi, yerel ag paylasimlari tarama ve sifreleme kapasitesi. /stealth, /wipeonly komut satiri secenekleri. how_to_decrypt.txt fidye notu. 11-section PE32+ TLS.

Malware Type
Ransomware
Programming Language
Delphi
C2 Protocol
TCP/HTTPS
Target Systems
Küresel

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — LANRansomware
# SHA256 48877a3a4c72c1daf3a80e3c034b56a04cec7ce3856887fed73e645e53c76b96
TypeValueNote
sha256 48877a3a4c72c1daf3a80e3c034b56a04cec7ce3856887fed73e645e53c76b96

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
tmonitor.pw domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
lanransomwarelan-ransomwaredelphi-ransomwarefolder-reserved-by-lan-encryptor-network-drive-encryptionfolder-reserved-by-local-encryptor-local-drive-encryptionencryptecb-decryptecb-aes-ecb-mode-encryption-decryptionis-stealth-cmd-list-stealth-mode-ransomware-flagswipeonly-data-wiping-mode-destructivetmonitor-pw-c2-domainwsastartup-socket-network-c2-communicationsystem-sysutils-delphi-compiledpress-enter-to-terminate-ransom-interaction