Manuel Statik Analiz — Maze Ransomware | Tehdit: KRİTİK

Dosya Kimliği

SHA2564263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Boyut920.552 byte (899KB)
String Sayisi3.993

EncryptionDisable: EFS Devre Dışı

EFS DEVRE DIŞI: Windows dosya sistemi şifreleme kaldırılıyor!
EncryptionDisable (advapi32.dll)
-- EFS = Encrypting File System (Windows yerleşik dosya şifreleme)
-- EFS etkin dosyalar: Maze'in kendi şifresi ile şifreleyemez!
-- Çözüm: önce EncryptionDisable → EFS'i kaldır → sonra Maze ile şifrele
-- Kurban: hem EFS korumasını hem de dosyalarını kaybeder
-- Maze'in benzersiz tekniği: dosya korumasını kendi şifrelemeden önce kaldırır

WinCrypt API Tam Suite

CryptGenKey       -- Şifreleme anahtarı üret
CryptExportKey    -- Anahtarı dışa aktar (şifreli kap)
CryptEncrypt      -- Veri şifrele
CryptDecrypt      -- Veri çöz (test amaçlı)
CryptDestroyKey   -- Anahtarı bellekten sil
-- Maze: RSA ile AES anahtarını şifreler → CryptExportKey ile depolar
-- Kurban anahtarı: Maze'in RSA private key'i olmadan açılamaz

NtQueryEaFile: EA Sorgusu

NtQueryEaFile (ntdll.dll)
-- Extended Attributes = NTFS dosya meta verileri
-- Maze: EA kontrolü ile zaten işaretlenmiş dosyaları atlar
-- Çifte şifreleme önleme mekanizması

IOC

SHA2564263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TeknikEncryptionDisable + WinCrypt tam suite

Maze — Malware Profile

Maze ransomware. EFS EncryptionDisable. WinCrypt tam suite. NtQueryEaFile EA sorgusu. 2019-2020 aktif. Çifte gasp öncü.

Malware Type
Ransomware
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Kurumsal

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — Maze
# SHA256 4263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValueNote
sha256 4263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Tags
mazeencryptiondisable-efs-disablecryptgenkey-wincryptcryptexportkeycryptencryptcryptdecryptwincrypt-full-suitentqueryeafile