Informações do arquivo
| Propriedade | Valor |
|---|---|
| SHA256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| MD5 | 388ed6c8e9e5ba54c49209337f0a71a6 |
| SHA1 | |
| Nome do arquivo | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| Tamanho | 1,971,182 bytes |
| Arquitetura | x86 |
| Data de compilação | Desconhecido |
| Packer | Tespit edilmedi |
| MB primeira detecção | 2026-06-29 |
| Tags MB | exe, WannaCry, dionaea |
Perfil de ameaça
Família: WannaCry Classificação: ALTO Confiança: HIGH
Bu WannaCry örneği (ffb966fc), Dionaea honeypot tarafından aktif SMB exploit girişimi sırasında yakalanmıştır. İlk örnekten (7face3cc) biraz daha büyük (1.97 MB vs 1.72 MB) olup farklı bir dağıtım varyantı olduğunu göstermektedir. Strings analizinde "WANACRY!", "WNcry@2ol7", "c.wnry", "t.wnry" imzaları ve kill switch domain tespit edilmiştir. Bu örnek, WannaCry'ın hâlâ aktif olarak SMB scanning yaptığını ve honeypot sistemleri hedeflediğini doğrulamaktadır.
Capacidades detectadas
- SMB Worm (EternalBlue/CVE-2017-0144)
- Arquivo Şifreleme (RSA-2048 + AES-128)
- .wnry dosya uzantısı
- Bitcoin fidye talebi
- Ağ tarama (SMB port 445)
- Kill switch domain kontrolü (sinkholed)
- mssecsvc2.0 servis kalıcılığı
Anti-Analiz Teknikleri
- Kill switch mekanizması (tersine mühendisliği zorlaştırır)
- Anti-emulation kontrolleri
Kalıcılık Mekanizmaları
mssecsvc.exeHKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0
Enjeksiyon Teknikleri
- Tespit edilmedi (statik analizde obfuscated)
C2 Sunucuları
| Adres | Port | Protokol | Durum |
|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | 80 | HTTP | SINKHOLED |
IOC Listesi
| Tip | Valor |
|---|---|
| sha256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| md5 | 388ed6c8e9e5ba54c49209337f0a71a6 |
| domain | hS.Uk |
| domain | Microsoft.NET |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
WannaCry — Perfil do malware
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
Detalhes técnicos
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
Capacidades e comportamento
Lista IOC (5 indicadores)
# SHA256
ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
# MD5
388ed6c8e9e5ba54c49209337f0a71a6
# DOMAIN
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# DOMAIN
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# MUTEX
GlobalMsWinZonesCacheCounterMutexA
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 | |
| md5 | 388ed6c8e9e5ba54c49209337f0a71a6 | |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
Servidores C2 (3 servidores registrados para esta família)
| Endereço | Tipo | Porta | Protocolo | Status | País |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.