WannaCry — Deep Static Analysis (7face3cc)

Bedrohungsübersicht
FamilieWannaCry
BedrohungsstufeHOCH
PlatformC/C++ (Win32 API)
PackerTespit edilmedi
SHA2567face3ccbf29cfc4294e3058cfb88713...
Erstsichtung2026-06-29
ErkennungsmethodeMalwareBazaar + Signaturübereinstimmung + Kill Switch Domain
KonfidenzHIGH

Dateiinformationen

EigenschaftWert
SHA2567face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
MD53ff29efc50e11f9d466325cc148861f5
SHA1
Dateiname7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
Größe1,724,564 bytes
Architekturx86
KompilierungsdatumUnbekannt
PackerTespit edilmedi
MB Erstsichtung2026-06-29
MB-Tagsexe, WannaCry, dionaea

Bedrohungsprofil

Familie: WannaCry   Klassifizierung: HOCH   Konfidenz: HIGH

WannaCry (WanaCrypt0r 2.0), Mayıs 2017'de küresel bir siber saldırıda kullanılan, EternalBlue SMB açığını (CVE-2017-0144) istismar eden worm/ransomware ailesidir. Bu örnek Dionaea honeypot tarafından yakalanmış olup aktif SMB exploit denemeleri yaptığını göstermektedir. Kill switch domain "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" strings analizinde tespit edilmiş olup bu domain bugün sinkholed durumundadır — yani modern sistemlerde WannaCry'ın şifreleme motoru çalışmayabilir. Ancak SMB tarama ve yayılma bileşeni hâlâ aktif tehdit oluşturmaktadır. Dateiları RSA-2048 (wrapper) + AES-128 (içerik) ile şifreler.

Erkannte Fähigkeiten

  • SMB Worm (EternalBlue/CVE-2017-0144 exploit)
  • Datei Şifreleme (RSA-2048 + AES-128)
  • .wnry uzantısı ile dosya değiştirme
  • Bitcoin fidye talebi
  • Ağ tarama ve yayılma (SMB port 445)
  • Kill switch domain kontrolü (sinkholed)
  • mssecsvc2.0 servisi kurulumu

Anti-Analiz Teknikleri

  • Kill switch (domain kontrol)
  • Sandbox ortamında kill switch aktif olabilir

Kalıcılık Mekanizmaları

  • mssecsvc.exe servis olarak kayıt
  • HKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

AdresPortProtokolDurum
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com80HTTPSINKHOLED

IOC Listesi

TipWert
sha2567face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
md53ff29efc50e11f9d466325cc148861f5
domainwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domainiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutexGlobalMsWinZonesCacheCounterMutexA

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

WannaCry — Malware-Profil

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Malware-Typ
Ransomware
Programmiersprache
C
C2-Protokoll
Zielsysteme
Windows
Auch bekannt als (AKA)
WannaCrypt

Technische Details

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Fähigkeiten & Verhalten

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC-Liste (5 Indikatoren)

IOC — WannaCry
# SHA256 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 # MD5 3ff29efc50e11f9d466325cc148861f5 # DOMAIN www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # MUTEX GlobalMsWinZonesCacheCounterMutexA
TypWertBemerkung
sha256 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
md5 3ff29efc50e11f9d466325cc148861f5
domain www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutex GlobalMsWinZonesCacheCounterMutexA

C2-Server (3 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
wannacryransomwarewormsmbeternalbluecve-2017-0144peanalizstatikiocdionaea