Hash / InformaçãoValor
SHA256f53ac28e9b0ec8535333795ab9e0e52b17a77ad5eabc7b5172bd7e7aac41df12
MD5164a227bb84d636200be7f0505212c4d
SHA181c85b5a33cc33beb3cbf9ff753abba7142310a5
ImpHashf34d5f2d4577ed6d9ceec516c1f5a744
Arquivo Adif53ac28e9b0ec8535333795ab9e0e52b17a77ad5eabc7b5172bd7e7aac41df12
Tipo de arquivoexe
Tamanho123,392 bytes
Primeira detecção2024-10-17

Tehdit Valorlendirmesi

Bu ornek, kurban sistemindeki dosyaları sifreleyerek erisimi engelleyen ve sifre cozme anahtarı karsılıgında fidye talep eden bir fidye yazılımı olarak analiz edilmistir.

Capacidades detectadas

  • Arquivo Sifreleme
  • Golge Kopya Silme
  • Fidye Notu
  • Yedek Yok Etme
  • Veri Sizdirma

Tags do MalwareBazaar

cyberfear-comexelockbitRansomware

Nota de análise

Bu ornek LockBit ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

LockBit — Perfil do malware

LockBit 3.0 (LockBit Black). bl3.exe builder. CryptProtectMemory DPAPI key protection. WinRAR SFX delivery.

Tipo de malware
Ransomware
Linguagem de programação
C++
Protocolo C2
Sistemas-alvo
Windows/Linux
Também conhecido como (AKA)
LockBit 3.0

Detalhes técnicos

C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA

Capacidades e comportamento

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Lista IOC (2 indicadores)

IOC — LockBit
# SHA256 f53ac28e9b0ec8535333795ab9e0e52b17a77ad5eabc7b5172bd7e7aac41df12 # MD5 164a227bb84d636200be7f0505212c4d
TipoValorNota
sha256 f53ac28e9b0ec8535333795ab9e0e52b17a77ad5eabc7b5172bd7e7aac41df12
md5 164a227bb84d636200be7f0505212c4d

Servidores C2 (2 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
35.227.107.189 ip 443 HTTPS sinkholed US
89.185.85.239 ip 443 HTTPS sinkholed NL

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
cyberfear-comexelockbitRansomware