Manuel Statik Analiz — Medusa Ransomware | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | c966ace15bece19a757760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Boyut | 757.760 byte (740KB) |
| String Sayisi | 3.741 |
JSON Konfigürasyon Alanları Tespit Edildi!
KRİTİK: Medusa'nın konfigürasyon yapısı açığa çıktı!
encryptedFileExtension -- şifreli dosya uzantısı (örn: ".medusa", ".MedusaLocker") skipExtensions -- şifrelenmeyecek uzantılar (örn: .exe .dll .sys) masterPublicKey -- RSA ana açık anahtar (kurban başına benzersiz)
Konfigürasyon Analizi
encryptedFileExtension: -- Bu field şifreli dosyalara eklenecek uzantıyı belirler -- Örnek: "invoice.pdf" → "invoice.pdf.medusa" -- Analistin şifreli dosyaları tanıması için C2'den gelir skipExtensions: -- Windows'un çalışması için kritik dosyaları şifrelemiyor -- Örn: .exe .dll .sys .msi → bilgisayarı kullanılamaz yapmaması için -- Saldırgan: kurban sistemi kapatırsa fidye ödemez masterPublicKey: -- Asimetrik RSA şifreleme: her kurban için benzersiz RSA private key -- Private key sadece C2'de → fidye ödenince gönderiliyor -- Master public key binary içine hardcoded
Hata Logu: RegCreateKeyExW Failed
RegCreateKeyExW failed. -- Registry anahtarı oluşturma başarısız (izin hatası) -- Medusa kalıcılık için registry kullanmaya çalışıyor -- UAC kısıtlı ortamlarda başarısız → hata log mesajı
IOC
| SHA256 | c966ace15bece19a757760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Config Alanları | encryptedFileExtension, skipExtensions, masterPublicKey |
Medusa — Malware Profile
Medusa/MedusaLocker ransomware. JSON config: encryptedFileExtension skipExtensions masterPublicKey. RegCreateKeyExW kalicilik.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Küresel
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — Medusa
# SHA256
c966ace15bece19a757760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Type | Value | Note |
|---|---|---|
| sha256 | c966ace15bece19a757760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |