Manuel Statik Analiz — Royal Ransomware | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 09a79e5e20fa4f5aae610c8ce3fe954029a91972b56c65f3a1d8e2b4c7f0e9a6 |
|---|---|
| Boyut | 2.558.055 byte (2.5MB) |
| String Sayisi | 18.036 |
TOR C2 Adresi
Kritik IOC: Royal ransomware TOR ödeme/destek portalı tespit edildi!
http://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion/%s royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion -- Royal Ransomware TOR C2 (kurban iletişim portalı)
Çok Katmanlı Şifreleme
SM4_encrypt -- Çin SM4 (ulusal standart) blok şifre AES_encrypt -- AES şifreleme (OpenSSL) aesni_ccm64_decrypt_blocks -- AES-NI CCM modu SEED_decrypt -- Kore SEED blok şifresi -- OpenSSL kütüphanesi ile çok algoritmalı şifreleme
Royal Hakkında
Royal, 2022-2023 yılları arasında aktif olan C++ tabanlı ransomware ailesidir. Conti grubunun dağılmasının ardından Conti üyeleri tarafından kurulmuştur. Kısmi şifreleme (hız için) ve çifte gaspatma yöntemi kullanır. Kritik altyapı, sağlık ve eğitim sektörlerine odaklanmıştır. CISA Mart 2023 uyarısında belirtilmiştir. 2023 yılının sonlarında "BlackSuit" olarak yeniden markalanmıştır.
IOC
| SHA256 | 09a79e5e20fa4f5aae610c8ce3fe954029a91972b56c65f3a1d8e2b4c7f0e9a6 |
|---|---|
| TOR | royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion |
| Şifreleme | SM4 + AES + SEED (OpenSSL) |
Royal — Malware Profile
Royal, 2022-2023 aktif C++ ransomware. Conti varisi. Kismi sifreleme. BlackSuit olarak yeniden markalasmis. CISA 2023.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
—
Target Systems
Windows
Technical Details
Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — Royal
# SHA256
09a79e5e20fa4f5aae610c8ce3fe954029a91972b56c65f3a1d8e2b4c7f0e9a6
| Type | Value | Note |
|---|---|---|
| sha256 | 09a79e5e20fa4f5aae610c8ce3fe954029a91972b56c65f3a1d8e2b4c7f0e9a6 |