Manuel Statik Analiz — Cl0p Ransomware | Tehdit: KRITIK

Archivo Kimligi

SHA256f55e4553ed04f085bc5b93cf7e5386c3d938abcb13a95ef1d2c11b21c16c05a
Tamaño336.384 byte
String Sayisi1.647

RSA Public Key Kaniti

3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe...
-- DER formatli RSA public key (ASN.1 sekans)
CryptImportPublicKeyInfo  -- RSA anahtar import API
-- Dosya sifreleme icin gomulu RSA public key

Hizli Sifreleme Altyapisi

CreateIoCompletionPort   -- IOCP (I/O Completion Port)
CreateMutexA             -- Tekli instance kontrolu
-- IOCP ile paralel dosya sifreleme (yuksek hiz)

Cl0p Hakkinda

Cl0p (Clop, CLOP), 2019'dan beri aktif FIN11 grubunun ransomware ailesidir. GOZi banker'dan evrilmis, kurumsal hedeflerde double-extortion (veri + sifreleme) uygular. MOVEit Transfer ve GoAnywhere MFT zaafiyetlerini istismar eden kampanyalariyla 2023'te yaygin tespid edilmistir. RSA-1024 ile AES anahtarini sifreler.

IOC

SHA256f55e4553ed04f085bc5b93cf7e5386c3d938abcb13a95ef1d2c11b21c16c05a
SifrelemecRSA (gomulu public key) + AES

Clop — Perfil del malware

Cl0p (Clop), 2019 dan beri aktif FIN11 ransomware ailesidir. GOZi kaynaklı. MOVEit/GoAnywhere zaafiyetleri ile kitlesel veri hirsizligi. RSA-1024 + AES + IOCP hizli sifreleme.

Tipo de malware
Ransomware
Lenguaje de programación
C/C++
Protocolo C2
Email
Sistemas objetivo
Kuresel — Kurumsal, Saglik, Finans

Capacidades y comportamiento

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Lista IOC (1 indicadores)

IOC — Clop
# MUTEX 3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe
TipoValorNota
mutex 3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe BTC cüzdanı
Etiquetas
clopransomwarersaiocpmutexsifreleme