WannaCry — Análise Estática Profunda (ffb966fc)

Resumo da ameaça
FamíliaWannaCry
Nível de ameaçaALTO
PlatformC/C++ (Win32 API)
PackerTespit edilmedi
SHA256ffb966fce55f67726e7f8084a1dc21b8...
Primeira detecção2026-06-29
Método de detecçãoMalwareBazaar + Kill Switch Domain + WANACRY! imzası
ConfiançaHIGH

Informações do arquivo

PropriedadeValor
SHA256ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
MD5388ed6c8e9e5ba54c49209337f0a71a6
SHA1
Nome do arquivoffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
Tamanho1,971,182 bytes
Arquiteturax86
Data de compilaçãoDesconhecido
PackerTespit edilmedi
MB primeira detecção2026-06-29
Tags MBexe, WannaCry, dionaea

Perfil de ameaça

Família: WannaCry   Classificação: ALTO   Confiança: HIGH

Bu WannaCry örneği (ffb966fc), Dionaea honeypot tarafından aktif SMB exploit girişimi sırasında yakalanmıştır. İlk örnekten (7face3cc) biraz daha büyük (1.97 MB vs 1.72 MB) olup farklı bir dağıtım varyantı olduğunu göstermektedir. Strings analizinde "WANACRY!", "WNcry@2ol7", "c.wnry", "t.wnry" imzaları ve kill switch domain tespit edilmiştir. Bu örnek, WannaCry'ın hâlâ aktif olarak SMB scanning yaptığını ve honeypot sistemleri hedeflediğini doğrulamaktadır.

Capacidades detectadas

  • SMB Worm (EternalBlue/CVE-2017-0144)
  • Arquivo Şifreleme (RSA-2048 + AES-128)
  • .wnry dosya uzantısı
  • Bitcoin fidye talebi
  • Ağ tarama (SMB port 445)
  • Kill switch domain kontrolü (sinkholed)
  • mssecsvc2.0 servis kalıcılığı

Anti-Analiz Teknikleri

  • Kill switch mekanizması (tersine mühendisliği zorlaştırır)
  • Anti-emulation kontrolleri

Kalıcılık Mekanizmaları

  • mssecsvc.exe
  • HKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

AdresPortProtokolDurum
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com80HTTPSINKHOLED

IOC Listesi

TipValor
sha256ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
md5388ed6c8e9e5ba54c49209337f0a71a6
domainhS.Uk
domainMicrosoft.NET
domainwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domainiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutexGlobalMsWinZonesCacheCounterMutexA

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

WannaCry — Perfil do malware

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Tipo de malware
Ransomware
Linguagem de programação
C
Protocolo C2
Sistemas-alvo
Windows
Também conhecido como (AKA)
WannaCrypt

Detalhes técnicos

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Capacidades e comportamento

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Lista IOC (5 indicadores)

IOC — WannaCry
# SHA256 ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 # MD5 388ed6c8e9e5ba54c49209337f0a71a6 # DOMAIN www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # MUTEX GlobalMsWinZonesCacheCounterMutexA
TipoValorNota
sha256 ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
md5 388ed6c8e9e5ba54c49209337f0a71a6
domain www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutex GlobalMsWinZonesCacheCounterMutexA

Servidores C2 (3 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
wannacryransomwarewormsmbeternalbluecve-2017-0144peanalizstatikiocdionaea