Genel Bakış
NokoRansomware, Rust programlama diliyle geliştirilmiş ve JSON benzeri Base64 kodlu yapılandırma dosyası aracılığıyla yönetilen bir fidye yazılımıdır. PDB yolu (Y:\noko\target\release\deps\noko.pdb) ve Cargo bağımlılıkları (base64-0.3.1) aracılığıyla tanımlanan bu örnek; Volume Shadow Copy silme, ağ paylaşımı şifreleme ve gizli sürücü keşfi gibi gelişmiş özellikler sunmaktadır.
Teknik Analiz
Yapılandırma Sistemi
Ransomware, komut satırından --config <base64 encoded config> argümanıyla çalıştırılmaktadır. Yapılandırma içindeki temel bayraklar:
EXTENSION— Şifrelenen dosyalara eklenecek özel uzantıNOTE_NAME— Fidye notu dosya adıNOTE_CONTENT— Fidye notu içeriğiDELETE_SHADOW— Volume Shadow Copy silme etkinleştirmeENCRYPT_NETWORK— Ağ paylaşımlarının şifrelenmesiLOAD_HIDDEN_DRIVES— Gizli sürücülerin keşfi ve şifrelenmesi
Kullanım Modları
--config <base64> # Tam sistem şifrelemesi
--config <base64> --file <yol> # Tek dosya şifrelemesi
--config <base64> --dir <yol> # Tek dizin şifrelemesi
VSS Silme Mekanizması
Shadow copy silme işlemi Windows Volume Shadow Service'e doğrudan \\.\ WMI yoluyla erişim aracılığıyla gerçekleştirilmektedir:
DELETE_SHADOW\.\:
"Successfully deleted shadow copies from [volume]"
"Couldn't delete shadow copies from volume! GetLastError: [kod]"
Ağ Paylaşımı Şifreleme
UNC yol desteği (UNC\H9) ile ağ paylaşımları tespit edilip şifrelenebilmektedir. Bu özellik yapılandırmada ENCRYPT_NETWORK bayrağı ile etkinleştirilmektedir.
Dosya Keşfi
"[dosya adı] was found. Added to encryption list."
Recursive dizin taraması ile tüm uygun dosyalar listelenmekte ve sırayla şifrelenmektedir.
Rust Teknik Detaylar
- Rust toolchain:
rustc/a55dd71d5fb0ec5a6a3a9e8c27b2127ba491ce52 - Cargo bağımlılığı:
base64-0.3.1(yapılandırma çözme için) - Windows API:
src\windowsapi.rs— VSS erişimi için özel modül - Hata ayıklama:
RUST_BACKTRACEdesteği
Teknik Özellikler
| Özellik | Değer |
|---|---|
| Mimari | PE32+ (x86-64 Console) |
| Dil | Rust |
| PDB Yolu | Y:\noko\target\release\deps\noko.pdb |
| TLS Dizini | Mevcut (1 fonksiyon) |
| C2 Bağlantısı | Yok (çevrimdışı, yapılandırma tabanlı) |
| Entropy | 6.27 (normal) |
IOC Özeti
- PDB Yolu:
Y:\noko\target\release\deps\noko.pdb - SHA256:
7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6
NokoRansomware — Malware Profile
Rust ransomware. PDB Y:\noko\target\release\deps\noko.pdb. Operator-configurable base64 CLI config. SystemFunction036 RtlGenRandom key gen. FindFirstVolumeW multi-drive encryption. Volume mount enumeration. CreateMutexA anti-reinfection.
Capabilities & Behavior
IOC List (1 indicators)
# SHA256
7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6
| Type | Value | Note |
|---|---|---|
| sha256 | 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6 |