Hash / InformaçãoValor
SHA256166bba02413995aff28ffeb27d3bf3d5a5f6a6cd36893e252c7b9a22836f4980
MD5be8bf725892ddd7a200d0a1906b9387f
SHA1582a24a72b29e70f2de26a8d217492c7a6b983ff
ImpHasha4d9bc817c853ddee0fd95530455e74f
Arquivo AdiWebAdvisorInstall.exe
Tipo de arquivoexe
Tamanho5,333,010 bytes
Primeira detecção2024-08-28

Tehdit Valorlendirmesi

Bu ornek, kurban sistemindeki dosyaları sifreleyerek erisimi engelleyen ve sifre cozme anahtarı karsılıgında fidye talep eden bir fidye yazılımı olarak analiz edilmistir.

Capacidades detectadas

  • Arquivo Sifreleme
  • Golge Kopya Silme
  • Fidye Notu
  • Yedek Yok Etme
  • Veri Sizdirma

Tags do MalwareBazaar

exeLoaderlockbitmaster-repogen-vercel-appRansomware

Nota de análise

Bu ornek LockBit ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

LockBit — Perfil do malware

LockBit 3.0 (LockBit Black). bl3.exe builder. CryptProtectMemory DPAPI key protection. WinRAR SFX delivery.

Tipo de malware
Ransomware
Linguagem de programação
C++
Protocolo C2
Sistemas-alvo
Windows/Linux
Também conhecido como (AKA)
LockBit 3.0

Detalhes técnicos

C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA

Capacidades e comportamento

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Lista IOC (2 indicadores)

IOC — LockBit
# SHA256 166bba02413995aff28ffeb27d3bf3d5a5f6a6cd36893e252c7b9a22836f4980 # MD5 be8bf725892ddd7a200d0a1906b9387f
TipoValorNota
sha256 166bba02413995aff28ffeb27d3bf3d5a5f6a6cd36893e252c7b9a22836f4980
md5 be8bf725892ddd7a200d0a1906b9387f

Servidores C2 (2 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
35.227.107.189 ip 443 HTTPS sinkholed US
89.185.85.239 ip 443 HTTPS sinkholed NL

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
exeLoaderlockbitmaster-repogen-vercel-appRansomware