Informações do arquivo
| Propriedade | Valor |
|---|---|
| SHA256 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 |
| MD5 | 3ff29efc50e11f9d466325cc148861f5 |
| SHA1 | |
| Nome do arquivo | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 |
| Tamanho | 1,724,564 bytes |
| Arquitetura | x86 |
| Data de compilação | Desconhecido |
| Packer | Tespit edilmedi |
| MB primeira detecção | 2026-06-29 |
| Tags MB | exe, WannaCry, dionaea |
Perfil de ameaça
Família: WannaCry Classificação: ALTO Confiança: HIGH
WannaCry (WanaCrypt0r 2.0), Mayıs 2017'de küresel bir siber saldırıda kullanılan, EternalBlue SMB açığını (CVE-2017-0144) istismar eden worm/ransomware ailesidir. Bu örnek Dionaea honeypot tarafından yakalanmış olup aktif SMB exploit denemeleri yaptığını göstermektedir. Kill switch domain "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" strings analizinde tespit edilmiş olup bu domain bugün sinkholed durumundadır — yani modern sistemlerde WannaCry'ın şifreleme motoru çalışmayabilir. Ancak SMB tarama ve yayılma bileşeni hâlâ aktif tehdit oluşturmaktadır. Arquivoları RSA-2048 (wrapper) + AES-128 (içerik) ile şifreler.
Capacidades detectadas
- SMB Worm (EternalBlue/CVE-2017-0144 exploit)
- Arquivo Şifreleme (RSA-2048 + AES-128)
- .wnry uzantısı ile dosya değiştirme
- Bitcoin fidye talebi
- Ağ tarama ve yayılma (SMB port 445)
- Kill switch domain kontrolü (sinkholed)
- mssecsvc2.0 servisi kurulumu
Anti-Analiz Teknikleri
- Kill switch (domain kontrol)
- Sandbox ortamında kill switch aktif olabilir
Kalıcılık Mekanizmaları
mssecsvc.exe servis olarak kayıtHKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0
Enjeksiyon Teknikleri
- Tespit edilmedi (statik analizde obfuscated)
C2 Sunucuları
| Adres | Port | Protokol | Durum |
|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | 80 | HTTP | SINKHOLED |
IOC Listesi
| Tip | Valor |
|---|---|
| sha256 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 |
| md5 | 3ff29efc50e11f9d466325cc148861f5 |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
WannaCry — Perfil do malware
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
Detalhes técnicos
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
Capacidades e comportamento
Lista IOC (5 indicadores)
# SHA256
7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
# MD5
3ff29efc50e11f9d466325cc148861f5
# DOMAIN
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# DOMAIN
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# MUTEX
GlobalMsWinZonesCacheCounterMutexA
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 | |
| md5 | 3ff29efc50e11f9d466325cc148861f5 | |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
Servidores C2 (3 servidores registrados para esta família)
| Endereço | Tipo | Porta | Protocolo | Status | País |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.