Manuel Statik Analiz (LLM Okumali) — Babuk Ransomware | Tehdit: KRITIK
Archivo Kimligi
| SHA256 | 5874159ac61ab0349f29c8336c6d31d27c4df26ee1d38dc56e4ee9ed8e2ca2e0 |
|---|---|
| Archivo Adi | mmd khr.exe |
| Tamaño | 422.400 byte |
| String Sayisi | 2.355 |
Cleartext Ransom Notu (String Analizi)
!!! Your files have been encrypted !!! To recover them, contact us via emails: [redacted - email C2] Before paying you can send 2-3 files less than 1MB, we will decrypt them to guarantee. #Recover-Files.txt
Babuk Teknigi
- Babuk, C++ ile yazilmis ransomware ailesidir. Ocak 2021'de ortaya cikmistir.
- Archivo sifreleme: Elliptic Curve Diffie-Hellman (ECDH) + SHA-256 + ChaCha8 hibrit sifresi
- Ag suruculeri (UNC yollari) dahil tum mantiksal surucleri sifreleme kapasitesi
- Shadow Copy temizleme:
vssadmin Delete Shadows /All /Quiet - Hedef: Kurumsal ag, Windows Server ortamlari
Babuk Hakkinda
Babuk, Ocak 2021'de "double extortion" taktigini kullanan Rusca konusan bir grubu tarafindan gelistirilmistir. Kaynak kodu 2021 yilinda sizintiyla yayinlanmis ve bircok turev (ESXi surumleri dahil) ortaya cikmistir. BlackBasta, Babuk kaynak kodundan yararlanan ailelerden biridir.
IOC
| SHA256 | 5874159ac61ab0349f29c8336c6d31d27c4df26ee1d38dc56e4ee9ed8e2ca2e0 |
|---|---|
| Ransom Notu | #Recover-Files.txt |
| C2 Metodu | Email (cleartext mesaj icinde) |
Babuk — Perfil del malware
Babuk, 2021 aktif .NET tabanlı ransomware ailesidir. Kaynak kodu sızdırılmış. ESXi ve Windows versiyonları.
Tipo de malware
Ransomware
Lenguaje de programación
C++
Protocolo C2
—
Sistemas objetivo
Windows/Linux
Capacidades y comportamiento
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
Lista IOC (1 indicadores)
IOC — Babuk
# SHA256
5874159ac61ab0349f29c8336c6d31d27c4df26ee1d38dc56e4ee9ed8e2ca2e0
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 5874159ac61ab0349f29c8336c6d31d27c4df26ee1d38dc56e4ee9ed8e2ca2e0 |