Genel Bakış
B.crypted Ransomware, gelişmiş bir fidye yazılımıdır. Dosyaları .B.crypted uzantısıyla şifreleyerek Tor anonimlik ağı üzerinden ödeme talep eder. WMI kullanarak gölge kopyaları silen bu malware; özellikle Webroot, COMODO ve diğer güvenlik ürünlerini hedef alarak önce güvenlik süreçlerini sonlandırır, ardından şifrelemeye başlar.
Teknik Analiz
Tor C2 Altyapısı
- C2 Adresi:
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion - Ödeme/anahtar alımı Tor ağı üzerinden yapılmaktadır
Fidye Mesajı
"Your files have been encrypted."
"Content of your files have been modified. Without special key you can't undo that operation."
"We will give you special decryption program and instructions."
WMI ile Shadow Copy Silme
Standart vssadmin delete shadows komutu yerine WMI doğrudan kullanılmaktadır — bu yöntem bazı güvenlik araçları tarafından daha az tespit edilir:
select * from Win32_ShadowCopy
Win32_ShadowCopy.ID='%s' → her kopyayı tek tek siler
ShadowProtectSvc— ShadowProtect yedekleme servisini durdururavshadow.exe— Webroot gölge kopya ajanını sonlandırır
Güvenlik Ürünü Kill Listesi
Şifrelemeden önce şu güvenlik süreçleri sonlandırılmaktadır:
| Süreç | Ürün |
|---|---|
| wrsa.exe / wrsa* | Webroot SecureAnywhere Antivirus |
| avgrsa.exe | AVG/Webroot entegrasyon ajanı |
| aesecurityservice.exe | Webroot AES Security Service |
| avshadow.exe | Webroot Shadow Copy Agent |
| cmdagent.exe | COMODO Internet Security |
| winvnc4.exe / WinVNC4 | UltraVNC uzak masaüstü |
| csinject.exe | CrowdStrike Injection Module |
| prgateway.exe | Parallels Remote Application Server |
| prftpengine.exe | Parallels FTP Engine |
| bdredline.exe | Bitdefender RedLine Component |
| isntsmtp.exe | Symantec SMTP Scanner |
| pxemtftp.exe | PXE TFTP Server (yedekleme altyapısı) |
| zoolz.exe / Zoolz 2 Service | Zoolz Cloud Backup |
| zonealarm.exe | ZoneAlarm Firewall |
| zlclient.exe | ZoneAlarm Client |
PE Yapısı
- Dosya Entropi: 2.67 (düşük — minimal obfüskasyon)
.shellbölümü (standart olmayan section adı)- TLS Directory mevcut (anti-debug potansiyeli)
- Zero/invalid timestamp
Teknik Özellikler
| Özellik | Değer |
|---|---|
| Uzantı | .B.crypted |
| C2 | Tor onion (6x7dp6h3...) |
| VSS Silme | WMI Win32_ShadowCopy (vssadmin kullanmaz) |
| Güvenlik Kill | Webroot, COMODO, ZoneAlarm, Bitdefender, CrowdStrike |
| Mimari | PE32 x86 |
IOC Özeti
- Tor C2:
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion - Uzantı: .B.crypted
- SHA256:
8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
IOC Listesi (2 gösterge)
# SHA256
8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2
# DOMAIN
6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
| Tür | Değer | Not |
|---|---|---|
| sha256 | 8fb025d59e501a545cae40ef222ca22b5722fdd487cdefb3f2e4b0a8635f9bc2 | |
| domain | 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion |
C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion | domain | 443 | custom | inactive | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.