Manuel Statik Analiz — Play Ransomware | Tehdit: KRITIK

Dosya Kimligi

SHA2569c7e55441fa5a46086982fb3d77d52ce89b3d59744a53c47e89fb3d29bc7e54
Dosya Adixxx.exe
Boyut513.536 byte
String Sayisi1.346

Sifrelenmis C2 Config Fragmentleri

2%262C2    -- C2 config sekman (sifrelenmis)
2V2c2p2u2  -- C2 sekman
1G2Q2[2c2p2z2  -- C2 sekman

Play Ransomware Hakkinda

Play (PlayCrypt), 2022 Haziran'dan itibaren aktif olan Rust/C++ tabanli bir ransomware ailesidir. Cobalt Strike, SystemBC ve AdFind gibi araclarla kurumsal saldiriler yapar. Double extortion (veri calma + sifreleme) uygular. .play dosya uzantisi kullanir. Hukuk, finans ve kamu sektorlerini hedeflemistir.

IOC

SHA2569c7e55441fa5a46086982fb3d77d52ce89b3d59744a53c47e89fb3d29bc7e54
C2Sifrelenmis config

Play — Malware Profile

Play (PlayCrypt), 2022 Haziran dan itibaren aktif Rust/C++ RaaS ailesidir. Cobalt Strike + SystemBC ile kurumsal hedefler, double extortion. .play uzantisi.

Malware Type
Ransomware
Programming Language
C++
C2 Protocol
TCP
Target Systems
Windows

Technical Details

Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — Play
# SHA256 9c7e55441fa5a46086982fb3d77d52ce89b3d59744a53c47e89fb3d29bc7e54
TypeValueNote
sha256 9c7e55441fa5a46086982fb3d77d52ce89b3d59744a53c47e89fb3d29bc7e54 len=63
Tags
playransomwaredouble-extortionsifrelenmisaes-rsa