Archivo Kimliği
| SHA256 | 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f |
|---|---|
| Tamaño | 141.312 byte (core DLL/PE) |
| String Sayisi | 580 (yoğun sıkıştırma) |
Ağ Erişimi
InternetOpenUrlA -- WinInet HTTP erişimi (C2/öldürme anahtarı kontrolü)
WannaCry Hakkında
WannaCry, Mayıs 2017'de küresel salgına neden olan Kuzey Kore (Lazarus Group) bağlantılı ransomware ailesidir. NSA sızdırılan EternalBlue (MS17-010 SMB) istismarını kullanarak otomatik yayılım yapar. 150+ ülkede 200,000+ sistem etkilenmiştir. "WannaKill" kill-switch domain bulunarak durdurulmuştur.
IOC
| SHA256 | 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f |
|---|---|
| Yayılım | EternalBlue (MS17-010 SMB) |
WannaCry — Perfil del malware
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
Detalles técnicos
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
Capacidades y comportamiento
Lista IOC (1 indicadores)
# SHA256
9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f |
Servidores C2 (3 servidores registrados para esta familia)
| Dirección | Tipo | Puerto | Protocolo | Estado | País |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.