Hash / InformaçãoValor
SHA256220c50ccf6a9d9727e9f442df42469f027d9f7a2ea833319971746280023bb0c
MD519b0c716f3f86bb852cfcf2507126c1d
SHA14c3ec46cdc8ba7e18b8e37b4396ddf0219058b9a
ImpHashf33c7aaba5188ab257bafef74b9ebf68
Arquivo Adi220c50ccf6a9d9727e9f442df42469f027d9f7a2ea833319971746280023bb0c.bin
Tipo de arquivoexe
Tamanho114,688 bytes
Primeira detecção2021-02-12

Tehdit Valorlendirmesi

Bu ornek, kurban sistemindeki dosyaları sifreleyerek erisimi engelleyen ve sifre cozme anahtarı karsılıgında fidye talep eden bir fidye yazılımı olarak analiz edilmistir.

Capacidades detectadas

  • Arquivo Sifreleme
  • Golge Kopya Silme
  • Fidye Notu
  • Yedek Yok Etme
  • Veri Sizdirma

Tags do MalwareBazaar

ClopoldRansomwareTA505

Nota de análise

Bu ornek Cl0p ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

Cl0p — Perfil do malware

Cl0p, 2023 MOVEit saldırısıyla tanındı.

Tipo de malware
Ransomware
Linguagem de programação
C
Protocolo C2
Sistemas-alvo
Windows

Detalhes técnicos

Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma

Capacidades e comportamento

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Lista IOC (2 indicadores)

IOC — Cl0p
# SHA256 220c50ccf6a9d9727e9f442df42469f027d9f7a2ea833319971746280023bb0c # MD5 19b0c716f3f86bb852cfcf2507126c1d
TipoValorNota
sha256 220c50ccf6a9d9727e9f442df42469f027d9f7a2ea833319971746280023bb0c
md5 19b0c716f3f86bb852cfcf2507126c1d

Servidores C2 (2 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
154.53.38.164 ip 443 HTTPS active RU
167.235.25.166 ip 443 HTTPS inactive DE

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
ClopoldRansomwareTA505