WannaCry — Deep Static Analysis (ffb966fc)

Bedrohungsübersicht
FamilieWannaCry
BedrohungsstufeHOCH
PlatformC/C++ (Win32 API)
PackerTespit edilmedi
SHA256ffb966fce55f67726e7f8084a1dc21b8...
Erstsichtung2026-06-29
ErkennungsmethodeMalwareBazaar + Kill Switch Domain + WANACRY! imzası
KonfidenzHIGH

Dateiinformationen

EigenschaftWert
SHA256ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
MD5388ed6c8e9e5ba54c49209337f0a71a6
SHA1
Dateinameffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
Größe1,971,182 bytes
Architekturx86
KompilierungsdatumUnbekannt
PackerTespit edilmedi
MB Erstsichtung2026-06-29
MB-Tagsexe, WannaCry, dionaea

Bedrohungsprofil

Familie: WannaCry   Klassifizierung: HOCH   Konfidenz: HIGH

Bu WannaCry örneği (ffb966fc), Dionaea honeypot tarafından aktif SMB exploit girişimi sırasında yakalanmıştır. İlk örnekten (7face3cc) biraz daha büyük (1.97 MB vs 1.72 MB) olup farklı bir dağıtım varyantı olduğunu göstermektedir. Strings analizinde "WANACRY!", "WNcry@2ol7", "c.wnry", "t.wnry" imzaları ve kill switch domain tespit edilmiştir. Bu örnek, WannaCry'ın hâlâ aktif olarak SMB scanning yaptığını ve honeypot sistemleri hedeflediğini doğrulamaktadır.

Erkannte Fähigkeiten

  • SMB Worm (EternalBlue/CVE-2017-0144)
  • Datei Şifreleme (RSA-2048 + AES-128)
  • .wnry dosya uzantısı
  • Bitcoin fidye talebi
  • Ağ tarama (SMB port 445)
  • Kill switch domain kontrolü (sinkholed)
  • mssecsvc2.0 servis kalıcılığı

Anti-Analiz Teknikleri

  • Kill switch mekanizması (tersine mühendisliği zorlaştırır)
  • Anti-emulation kontrolleri

Kalıcılık Mekanizmaları

  • mssecsvc.exe
  • HKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

AdresPortProtokolDurum
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com80HTTPSINKHOLED

IOC Listesi

TipWert
sha256ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
md5388ed6c8e9e5ba54c49209337f0a71a6
domainhS.Uk
domainMicrosoft.NET
domainwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domainiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutexGlobalMsWinZonesCacheCounterMutexA

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

WannaCry — Malware-Profil

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Malware-Typ
Ransomware
Programmiersprache
C
C2-Protokoll
Zielsysteme
Windows
Auch bekannt als (AKA)
WannaCrypt

Technische Details

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Fähigkeiten & Verhalten

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC-Liste (5 Indikatoren)

IOC — WannaCry
# SHA256 ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 # MD5 388ed6c8e9e5ba54c49209337f0a71a6 # DOMAIN www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # MUTEX GlobalMsWinZonesCacheCounterMutexA
TypWertBemerkung
sha256 ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
md5 388ed6c8e9e5ba54c49209337f0a71a6
domain www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutex GlobalMsWinZonesCacheCounterMutexA

C2-Server (3 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
wannacryransomwarewormsmbeternalbluecve-2017-0144peanalizstatikiocdionaea