文件信息
| 属性 | 值 |
|---|---|
| SHA256 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 |
| MD5 | 3ff29efc50e11f9d466325cc148861f5 |
| SHA1 | |
| 文件名 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 |
| 大小 | 1,724,564 bytes |
| 架构 | x86 |
| 编译日期 | 未知 |
| Packer | Tespit edilmedi |
| MB 首次发现 | 2026-06-29 |
| MB 标签 | exe, WannaCry, dionaea |
威胁概况
家族: WannaCry 分类: 高 置信度: HIGH
WannaCry (WanaCrypt0r 2.0), Mayıs 2017'de küresel bir siber saldırıda kullanılan, EternalBlue SMB açığını (CVE-2017-0144) istismar eden worm/ransomware ailesidir. Bu örnek Dionaea honeypot tarafından yakalanmış olup aktif SMB exploit denemeleri yaptığını göstermektedir. Kill switch domain "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" strings analizinde tespit edilmiş olup bu domain bugün sinkholed durumundadır — yani modern sistemlerde WannaCry'ın şifreleme motoru çalışmayabilir. Ancak SMB tarama ve yayılma bileşeni hâlâ aktif tehdit oluşturmaktadır. 文件ları RSA-2048 (wrapper) + AES-128 (içerik) ile şifreler.
检测到的功能
- SMB Worm (EternalBlue/CVE-2017-0144 exploit)
- 文件 Şifreleme (RSA-2048 + AES-128)
- .wnry uzantısı ile dosya değiştirme
- Bitcoin fidye talebi
- Ağ tarama ve yayılma (SMB port 445)
- Kill switch domain kontrolü (sinkholed)
- mssecsvc2.0 servisi kurulumu
Anti-Analiz Teknikleri
- Kill switch (domain kontrol)
- Sandbox ortamında kill switch aktif olabilir
Kalıcılık Mekanizmaları
mssecsvc.exe servis olarak kayıtHKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0
Enjeksiyon Teknikleri
- Tespit edilmedi (statik analizde obfuscated)
C2 Sunucuları
| Adres | Port | Protokol | Durum |
|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | 80 | HTTP | SINKHOLED |
IOC Listesi
| Tip | 值 |
|---|---|
| sha256 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 |
| md5 | 3ff29efc50e11f9d466325cc148861f5 |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
WannaCry — 恶意软件档案
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
技术细节
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
能力与行为
IOC列表 (5 个指标)
# SHA256
7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
# MD5
3ff29efc50e11f9d466325cc148861f5
# DOMAIN
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# DOMAIN
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# MUTEX
GlobalMsWinZonesCacheCounterMutexA
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 | |
| md5 | 3ff29efc50e11f9d466325cc148861f5 | |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
C2服务器 (该家族共有 3 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。