Hachage / InfoValeur
SHA256339a6e6e891d5bb8f19a01f948c352216e44656e46f3ee462319371fd98b3369
MD5fbb796cc4209793257bc08943e9bfa29
SHA15200d89104d66cab7ee6418e1dc5eccc13bc5193
ImpHash37f01a80e028f92aeb4f7284acd12f45
Fichier Adi339a6e6e891d5bb8f19a01f948c352216e44656e46f3ee462319371fd98b3369
Type de fichierexe
Taille90,112 bytes
Première observation2022-12-19

Tehdit Valeurlendirmesi

Bu ornek, kurban sistemindeki dosyaları sifreleyerek erisimi engelleyen ve sifre cozme anahtarı karsılıgında fidye talep eden bir fidye yazılımı olarak analiz edilmistir.

Capacités détectées

  • Fichier Sifreleme
  • Golge Kopya Silme
  • Fidye Notu
  • Yedek Yok Etme
  • Veri Sizdirma

Étiquettes MalwareBazaar

cyberfear-comexelockbitRansomwareVohuk

Note d’analyse

Bu ornek LockBit ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

LockBit — Profil du malware

LockBit 3.0 (LockBit Black). bl3.exe builder. CryptProtectMemory DPAPI key protection. WinRAR SFX delivery.

Type de malware
Ransomware
Langage de programmation
C++
Protocole C2
Systèmes ciblés
Windows/Linux
Aussi connu sous (AKA)
LockBit 3.0

Détails techniques

C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA

Capacités et comportement

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Liste IOC (2 indicateurs)

IOC — LockBit
# SHA256 339a6e6e891d5bb8f19a01f948c352216e44656e46f3ee462319371fd98b3369 # MD5 fbb796cc4209793257bc08943e9bfa29
TypeValeurNote
sha256 339a6e6e891d5bb8f19a01f948c352216e44656e46f3ee462319371fd98b3369
md5 fbb796cc4209793257bc08943e9bfa29

Serveurs C2 (2 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
35.227.107.189 ip 443 HTTPS sinkholed US
89.185.85.239 ip 443 HTTPS sinkholed NL

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
cyberfear-comexelockbitRansomwareVohuk