WannaCry——深度静态分析(ffb966fc)

威胁摘要
家族WannaCry
威胁等级
PlatformC/C++ (Win32 API)
PackerTespit edilmedi
SHA256ffb966fce55f67726e7f8084a1dc21b8...
首次发现2026-06-29
检测方法MalwareBazaar + Kill Switch Domain + WANACRY! imzası
置信度HIGH

文件信息

属性
SHA256ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
MD5388ed6c8e9e5ba54c49209337f0a71a6
SHA1
文件名ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
大小1,971,182 bytes
架构x86
编译日期未知
PackerTespit edilmedi
MB 首次发现2026-06-29
MB 标签exe, WannaCry, dionaea

威胁概况

家族: WannaCry   分类:   置信度: HIGH

Bu WannaCry örneği (ffb966fc), Dionaea honeypot tarafından aktif SMB exploit girişimi sırasında yakalanmıştır. İlk örnekten (7face3cc) biraz daha büyük (1.97 MB vs 1.72 MB) olup farklı bir dağıtım varyantı olduğunu göstermektedir. Strings analizinde "WANACRY!", "WNcry@2ol7", "c.wnry", "t.wnry" imzaları ve kill switch domain tespit edilmiştir. Bu örnek, WannaCry'ın hâlâ aktif olarak SMB scanning yaptığını ve honeypot sistemleri hedeflediğini doğrulamaktadır.

检测到的功能

  • SMB Worm (EternalBlue/CVE-2017-0144)
  • 文件 Şifreleme (RSA-2048 + AES-128)
  • .wnry dosya uzantısı
  • Bitcoin fidye talebi
  • Ağ tarama (SMB port 445)
  • Kill switch domain kontrolü (sinkholed)
  • mssecsvc2.0 servis kalıcılığı

Anti-Analiz Teknikleri

  • Kill switch mekanizması (tersine mühendisliği zorlaştırır)
  • Anti-emulation kontrolleri

Kalıcılık Mekanizmaları

  • mssecsvc.exe
  • HKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

AdresPortProtokolDurum
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com80HTTPSINKHOLED

IOC Listesi

Tip
sha256ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
md5388ed6c8e9e5ba54c49209337f0a71a6
domainhS.Uk
domainMicrosoft.NET
domainwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domainiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutexGlobalMsWinZonesCacheCounterMutexA

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

WannaCry — 恶意软件档案

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

恶意软件类型
Ransomware
编程语言
C
C2协议
目标系统
Windows
别名 (AKA)
WannaCrypt

技术细节

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

能力与行为

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC列表 (5 个指标)

IOC — WannaCry
# SHA256 ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 # MD5 388ed6c8e9e5ba54c49209337f0a71a6 # DOMAIN www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # MUTEX GlobalMsWinZonesCacheCounterMutexA
类型备注
sha256 ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
md5 388ed6c8e9e5ba54c49209337f0a71a6
domain www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutex GlobalMsWinZonesCacheCounterMutexA

C2服务器 (该家族共有 3 台已记录服务器)

地址 类型 端口 协议 状态 国家
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
wannacryransomwarewormsmbeternalbluecve-2017-0144peanalizstatikiocdionaea