文件信息
| 属性 | 值 |
|---|---|
| SHA256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| MD5 | 388ed6c8e9e5ba54c49209337f0a71a6 |
| SHA1 | |
| 文件名 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| 大小 | 1,971,182 bytes |
| 架构 | x86 |
| 编译日期 | 未知 |
| Packer | Tespit edilmedi |
| MB 首次发现 | 2026-06-29 |
| MB 标签 | exe, WannaCry, dionaea |
威胁概况
家族: WannaCry 分类: 高 置信度: HIGH
Bu WannaCry örneği (ffb966fc), Dionaea honeypot tarafından aktif SMB exploit girişimi sırasında yakalanmıştır. İlk örnekten (7face3cc) biraz daha büyük (1.97 MB vs 1.72 MB) olup farklı bir dağıtım varyantı olduğunu göstermektedir. Strings analizinde "WANACRY!", "WNcry@2ol7", "c.wnry", "t.wnry" imzaları ve kill switch domain tespit edilmiştir. Bu örnek, WannaCry'ın hâlâ aktif olarak SMB scanning yaptığını ve honeypot sistemleri hedeflediğini doğrulamaktadır.
检测到的功能
- SMB Worm (EternalBlue/CVE-2017-0144)
- 文件 Şifreleme (RSA-2048 + AES-128)
- .wnry dosya uzantısı
- Bitcoin fidye talebi
- Ağ tarama (SMB port 445)
- Kill switch domain kontrolü (sinkholed)
- mssecsvc2.0 servis kalıcılığı
Anti-Analiz Teknikleri
- Kill switch mekanizması (tersine mühendisliği zorlaştırır)
- Anti-emulation kontrolleri
Kalıcılık Mekanizmaları
mssecsvc.exeHKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0
Enjeksiyon Teknikleri
- Tespit edilmedi (statik analizde obfuscated)
C2 Sunucuları
| Adres | Port | Protokol | Durum |
|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | 80 | HTTP | SINKHOLED |
IOC Listesi
| Tip | 值 |
|---|---|
| sha256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| md5 | 388ed6c8e9e5ba54c49209337f0a71a6 |
| domain | hS.Uk |
| domain | Microsoft.NET |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
WannaCry — 恶意软件档案
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
技术细节
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
能力与行为
IOC列表 (5 个指标)
# SHA256
ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
# MD5
388ed6c8e9e5ba54c49209337f0a71a6
# DOMAIN
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# DOMAIN
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# MUTEX
GlobalMsWinZonesCacheCounterMutexA
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 | |
| md5 | 388ed6c8e9e5ba54c49209337f0a71a6 | |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
C2服务器 (该家族共有 3 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。