Dosya Kimliği
| SHA256 | 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f |
|---|---|
| Boyut | 141.312 byte (core DLL/PE) |
| String Sayisi | 580 (yoğun sıkıştırma) |
Ağ Erişimi
InternetOpenUrlA -- WinInet HTTP erişimi (C2/öldürme anahtarı kontrolü)
WannaCry Hakkında
WannaCry, Mayıs 2017'de küresel salgına neden olan Kuzey Kore (Lazarus Group) bağlantılı ransomware ailesidir. NSA sızdırılan EternalBlue (MS17-010 SMB) istismarını kullanarak otomatik yayılım yapar. 150+ ülkede 200,000+ sistem etkilenmiştir. "WannaKill" kill-switch domain bulunarak durdurulmuştur.
IOC
| SHA256 | 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f |
|---|---|
| Yayılım | EternalBlue (MS17-010 SMB) |
WannaCry — Malware Profili
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
Teknik Detaylar
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
Yetenekler ve Davranış
IOC Listesi (1 gösterge)
# SHA256
9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f
| Tür | Değer | Not |
|---|---|---|
| sha256 | 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f |
C2 Sunucuları (Bu aile için 3 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.