Manuel Statik Analiz — WannaCry (WannaCrypt) | Tehdit: KRITIK

文件 Kimliği

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
大小743.424 byte
String Sayisi3.352

Tarihi Kill Switch Domaini

Dünya tarihinin en önemli malware kill switch'i! MarcusHutchins bu domaini kaydederek WannaCry salgınını durdurdu.
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
-- Domain kayıtlı değilse: WannaCry şifreleme başlatır
-- Domain kayıtlıysa ve NXDOMAIN değilse: DURUR!
-- 12 Mayıs 2017: MarcusHutchins $10.69'a kaydetti ve yayılmayı durdurdu
-- 22 yaşındaki güvenlik araştırmacısı milyonlarca sistemi kurtardı
WANACRY!    -- Kill switch mutex kontrolü
Global\MsWinZonesCacheCounterMutexA  -- Yeniden enfeksiyon önleme mutex

Bitcoin Cüzdanlar

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12EAUVyWUyy4qYnqoAqdq3FLUh
12t9YDPgwueZ9NyMgw519p7
-- Toplam fidye: ~52 BTC (~130,000 USD 2017 değeriyle)
-- Fidye düşük kaldı: otomatik ödeme doğrulama yoktu

WannaCry Hakkında

WannaCry, 12 Mayıs 2017'de başlayan ve 150+ ülkede 200.000+ sistemi etkileyen küresel fidye yazılımı saldırısıdır. NSA'nın EternalBlue (MS17-010) açığını SMBv1 üzerinden kullanır. Kuzey Kore'nin Lazarus grubu tarafından gerçekleştirildi. İngiltere NHS sağlık sistemi, Telefonica, FedEx gibi kurumlar etkilendi.

IOC

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Kill Switchiuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
BTC115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
StringWANACRY!

WannaCry — 恶意软件档案

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

恶意软件类型
Ransomware
编程语言
C
C2协议
目标系统
Windows
别名 (AKA)
WannaCrypt

技术细节

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

能力与行为

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC列表 (3 个指标)

IOC — WannaCry
# DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com # MUTEX 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn # MUTEX 12EAUVyWUyy4qYnqoAqdq3FLUh
类型备注
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
mutex 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn BTC cüzdanı
mutex 12EAUVyWUyy4qYnqoAqdq3FLUh BTC cüzdanı

C2服务器 (该家族共有 3 台已记录服务器)

地址 类型 端口 协议 状态 国家
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
wannacrykill-switch-domainiuqerfsodp9wanacry-stringeternalbluewannacryptms17-010btc-wallets