Manuel Statik Analiz — Maze Ransomware | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 4263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Boyut | 920.552 byte (899KB) |
| String Sayisi | 3.993 |
EncryptionDisable: EFS Devre Dışı
EFS DEVRE DIŞI: Windows dosya sistemi şifreleme kaldırılıyor!
EncryptionDisable (advapi32.dll) -- EFS = Encrypting File System (Windows yerleşik dosya şifreleme) -- EFS etkin dosyalar: Maze'in kendi şifresi ile şifreleyemez! -- Çözüm: önce EncryptionDisable → EFS'i kaldır → sonra Maze ile şifrele -- Kurban: hem EFS korumasını hem de dosyalarını kaybeder -- Maze'in benzersiz tekniği: dosya korumasını kendi şifrelemeden önce kaldırır
WinCrypt API Tam Suite
CryptGenKey -- Şifreleme anahtarı üret CryptExportKey -- Anahtarı dışa aktar (şifreli kap) CryptEncrypt -- Veri şifrele CryptDecrypt -- Veri çöz (test amaçlı) CryptDestroyKey -- Anahtarı bellekten sil -- Maze: RSA ile AES anahtarını şifreler → CryptExportKey ile depolar -- Kurban anahtarı: Maze'in RSA private key'i olmadan açılamaz
NtQueryEaFile: EA Sorgusu
NtQueryEaFile (ntdll.dll) -- Extended Attributes = NTFS dosya meta verileri -- Maze: EA kontrolü ile zaten işaretlenmiş dosyaları atlar -- Çifte şifreleme önleme mekanizması
IOC
| SHA256 | 4263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Teknik | EncryptionDisable + WinCrypt tam suite |
Maze — Malware Profile
Maze ransomware. EFS EncryptionDisable. WinCrypt tam suite. NtQueryEaFile EA sorgusu. 2019-2020 aktif. Çifte gasp öncü.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Kurumsal
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — Maze
# SHA256
4263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Type | Value | Note |
|---|---|---|
| sha256 | 4263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |