Manuel Statik Analiz — Cl0p Ransomware | Tehdit: KRITIK
Datei Kimligi
| SHA256 | f55e4553ed04f085bc5b93cf7e5386c3d938abcb13a95ef1d2c11b21c16c05a |
|---|---|
| Größe | 336.384 byte |
| String Sayisi | 1.647 |
RSA Public Key Kaniti
3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe... -- DER formatli RSA public key (ASN.1 sekans) CryptImportPublicKeyInfo -- RSA anahtar import API -- Dosya sifreleme icin gomulu RSA public key
Hizli Sifreleme Altyapisi
CreateIoCompletionPort -- IOCP (I/O Completion Port) CreateMutexA -- Tekli instance kontrolu -- IOCP ile paralel dosya sifreleme (yuksek hiz)
Cl0p Hakkinda
Cl0p (Clop, CLOP), 2019'dan beri aktif FIN11 grubunun ransomware ailesidir. GOZi banker'dan evrilmis, kurumsal hedeflerde double-extortion (veri + sifreleme) uygular. MOVEit Transfer ve GoAnywhere MFT zaafiyetlerini istismar eden kampanyalariyla 2023'te yaygin tespid edilmistir. RSA-1024 ile AES anahtarini sifreler.
IOC
| SHA256 | f55e4553ed04f085bc5b93cf7e5386c3d938abcb13a95ef1d2c11b21c16c05a |
|---|---|
| Sifrelemec | RSA (gomulu public key) + AES |
Clop — Malware-Profil
Cl0p (Clop), 2019 dan beri aktif FIN11 ransomware ailesidir. GOZi kaynaklı. MOVEit/GoAnywhere zaafiyetleri ile kitlesel veri hirsizligi. RSA-1024 + AES + IOCP hizli sifreleme.
Malware-Typ
Ransomware
Programmiersprache
C/C++
C2-Protokoll
Email
Zielsysteme
Kuresel — Kurumsal, Saglik, Finans
Fähigkeiten & Verhalten
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC-Liste (1 Indikatoren)
IOC — Clop
# MUTEX
3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe
| Typ | Wert | Bemerkung |
|---|---|---|
| mutex | 3DQEBAQUAA4GNADCBiQKBgQCgM3tVU3NLe | BTC cüzdanı |