Manuel Statik Analiz — MedusaLocker Ransomware | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 2e62a782c84149953dd216d96fec8e0f4d4b568525bbaa7b3c5a4f7d0e2b6c9 |
|---|---|
| Boyut | 683.008 byte (683KB) |
| String Sayisi | 3.632 |
Üçlü Tor Onion C2 Altyapısı
3 Farklı Tor Onion C2!
http://medusakxxtp3uo7vusntvubnytaph4d3amxivbggl3hnhpk2nmus34yd.onion/c382a94f750481d... -- /c382a94f750481d = kurban kimlik hash'i ile dinamik endpoint gktf7uqsqyfry4ebnxlcbkccyd.onion -- Yedek onion (birincil düşerse) medusaxko7jxtrojdkxo66...onion -- Üçüncü onion (çeşitlilik = takedown direnci) medusa.su -- .su (Sovyet Union) TLD clearnet geri dönüş C2!
Geliştirici PDB Parmak İzi
C:\Users\mike\AppData\Local\Temp\9144a60ac86d4c91f7553768.exe -- Geliştirici kullanıcı adı: "mike" -- Temp klasöründe test derleme -- "9144a60ac86d4c91f7553768.exe" = benzersiz build ismi
Ransomware Yapılandırma Stringleri
File is already encrypted. -- Tekrar şifreleme kontrolü encrypt system -- Sistem şifreleme komutu load_encryption_key:File open error -- RSA/AES key yükleme hatası G:\Medu... -- Şifreleme hedef drive prefix
Bitcoin Cüzdanlar
1tu3wupmw7LxErfAyqcfATE8fLlF8d 1WH4HzZoe6g8EVqWS9McLA6SAW2AIn4oJLf
IOC
| SHA256 | 2e62a782c84149953dd216d96fec8e0f4d4b568525bbaa7b3c5a4f7d0e2b6c9 |
|---|---|
| Tor C2 | medusakxxtp3uo7vusntvubnytaph4d3amxivbggl3hnhpk2nmus34yd.onion |
| C2 | medusa.su (.su Sovyet TLD) |
| PDB | C:\Users\mike\AppData\Local\Temp\9144...exe |
| BTC | 1tu3wupmw7LxErfAyqcfATE8fLlF8d |
MedusaLocker — Malware Profile
MedusaLocker RaaS 2019. Triple Tor onion + medusa.su. mike PDB. BTC fidye. RSA+AES sifreliyor. G drive prefix.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
TCP
Target Systems
Windows
Technical Details
Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (3 indicators)
IOC — MedusaLocker
# DOMAIN
medusakxxtp3uo7vusntvubnytaph4d3amxivbggl3hnhpk2nmus34yd.onion
# DOMAIN
gktf7uqsqyfry4ebnxlcbkccyd.onion
# DOMAIN
medusa.su
| Type | Value | Note |
|---|---|---|
| domain | medusakxxtp3uo7vusntvubnytaph4d3amxivbggl3hnhpk2nmus34yd.onion | |
| domain | gktf7uqsqyfry4ebnxlcbkccyd.onion | |
| domain | medusa.su |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| medusa.su | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.