Manuel Statik Analiz — MedusaLocker Ransomware | Tehdit: KRITIK

Dosya Kimliği

SHA2562e62a782c84149953dd216d96fec8e0f4d4b568525bbaa7b3c5a4f7d0e2b6c9
Boyut683.008 byte (683KB)
String Sayisi3.632

Üçlü Tor Onion C2 Altyapısı

3 Farklı Tor Onion C2!
http://medusakxxtp3uo7vusntvubnytaph4d3amxivbggl3hnhpk2nmus34yd.onion/c382a94f750481d...
-- /c382a94f750481d = kurban kimlik hash'i ile dinamik endpoint
gktf7uqsqyfry4ebnxlcbkccyd.onion
-- Yedek onion (birincil düşerse)
medusaxko7jxtrojdkxo66...onion
-- Üçüncü onion (çeşitlilik = takedown direnci)
medusa.su
-- .su (Sovyet Union) TLD clearnet geri dönüş C2!

Geliştirici PDB Parmak İzi

C:\Users\mike\AppData\Local\Temp\9144a60ac86d4c91f7553768.exe
-- Geliştirici kullanıcı adı: "mike"
-- Temp klasöründe test derleme
-- "9144a60ac86d4c91f7553768.exe" = benzersiz build ismi

Ransomware Yapılandırma Stringleri

File is already encrypted.       -- Tekrar şifreleme kontrolü
encrypt system                   -- Sistem şifreleme komutu
load_encryption_key:File open error -- RSA/AES key yükleme hatası
G:\Medu...                       -- Şifreleme hedef drive prefix

Bitcoin Cüzdanlar

1tu3wupmw7LxErfAyqcfATE8fLlF8d
1WH4HzZoe6g8EVqWS9McLA6SAW2AIn4oJLf

IOC

SHA2562e62a782c84149953dd216d96fec8e0f4d4b568525bbaa7b3c5a4f7d0e2b6c9
Tor C2medusakxxtp3uo7vusntvubnytaph4d3amxivbggl3hnhpk2nmus34yd.onion
C2medusa.su (.su Sovyet TLD)
PDBC:\Users\mike\AppData\Local\Temp\9144...exe
BTC1tu3wupmw7LxErfAyqcfATE8fLlF8d

MedusaLocker — Malware Profile

MedusaLocker RaaS 2019. Triple Tor onion + medusa.su. mike PDB. BTC fidye. RSA+AES sifreliyor. G drive prefix.

Malware Type
Ransomware
Programming Language
C++
C2 Protocol
TCP
Target Systems
Windows

Technical Details

Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (3 indicators)

IOC — MedusaLocker
# DOMAIN medusakxxtp3uo7vusntvubnytaph4d3amxivbggl3hnhpk2nmus34yd.onion # DOMAIN gktf7uqsqyfry4ebnxlcbkccyd.onion # DOMAIN medusa.su
TypeValueNote
domain medusakxxtp3uo7vusntvubnytaph4d3amxivbggl3hnhpk2nmus34yd.onion
domain gktf7uqsqyfry4ebnxlcbkccyd.onion
domain medusa.su

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
medusa.su domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
medusalockermedusakxxtp3uo7vu-onionmedusa-sumike-pdb-pathbtc-wallettriple-tor-onionransomwaregettickcpunt64