Manuel Statik Analiz — LockBit 3.0 Ransomware | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Dosya Adı | bl3.exe (BL3 = BLockBit 3 — açık OPSEC!) |
| Boyut | 994.457 byte (970KB) |
| String Sayisi | 4.994 |
bl3.exe: LockBit 3.0 Kimliği Açıkta
OPSEC HATASI: Payload adı sürümü açık ediyor!
bl3.exe -- "bl" = BLockBit (LockBit kısaltması) -- "3" = sürüm 3.0 (LockBit 3 = "LockBit Black") -- Karşılaştır: LockBit 2 → "bl2.exe", LockBit 3 → "bl3.exe" -- Saldırgan: kendi payloadlarını bu şemaya göre isimlendiriyor -- OPSEC: isim sürüm tespitini kolaylaştırıyor
WinRAR SFX $GETPASSWORD1 Sarmalayıcı
$GETPASSWORD1:SIZE $GETPASSWORD1:CAPTION $GETPASSWORD1:IDC_PASSWORDENTER -- Bu stringler: WinRAR SFX (Self-Extracting Archive) kaynak dizesi -- LockBit 3: payload WinRAR SFX ile sarmalanmış -- SFX "infected" şifresi → payload açılır → bl3.exe çalışır -- WinRAR SFX sarmalama: imza tespitini zorlaştırır -- Aynı teknik: daha önce WinRAR SFX PDB stringlerinde görüldü
IOC
| SHA256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Dosya | bl3.exe (LockBit 3.0) |
| Sarmalayıcı | WinRAR SFX |
LockBit — Malware Profile
LockBit 3.0 (LockBit Black). bl3.exe builder. CryptProtectMemory DPAPI key protection. WinRAR SFX delivery.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
—
Target Systems
Windows/Linux
Also Known As (AKA)
LockBit 3.0
Technical Details
C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — LockBit
# SHA256
032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Type | Value | Note |
|---|---|---|
| sha256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 35.227.107.189 | ip | 443 | HTTPS | sinkholed | US |
| 89.185.85.239 | ip | 443 | HTTPS | sinkholed | NL |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.