Arquivo Kimliği
| SHA256 | 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f |
|---|---|
| Tamanho | 141.312 byte (core DLL/PE) |
| String Sayisi | 580 (yoğun sıkıştırma) |
Ağ Erişimi
InternetOpenUrlA -- WinInet HTTP erişimi (C2/öldürme anahtarı kontrolü)
WannaCry Hakkında
WannaCry, Mayıs 2017'de küresel salgına neden olan Kuzey Kore (Lazarus Group) bağlantılı ransomware ailesidir. NSA sızdırılan EternalBlue (MS17-010 SMB) istismarını kullanarak otomatik yayılım yapar. 150+ ülkede 200,000+ sistem etkilenmiştir. "WannaKill" kill-switch domain bulunarak durdurulmuştur.
IOC
| SHA256 | 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f |
|---|---|
| Yayılım | EternalBlue (MS17-010 SMB) |
WannaCry — Perfil do malware
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
Detalhes técnicos
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
Capacidades e comportamento
Lista IOC (1 indicadores)
# SHA256
9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f |
Servidores C2 (3 servidores registrados para esta família)
| Endereço | Tipo | Porta | Protocolo | Status | País |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.