Manuel Statik Analiz — WannaCry (WannaCrypt) | Tehdit: KRITIK

Archivo Kimliği

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Tamaño743.424 byte
String Sayisi3.352

Tarihi Kill Switch Domaini

Dünya tarihinin en önemli malware kill switch'i! MarcusHutchins bu domaini kaydederek WannaCry salgınını durdurdu.
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
-- Domain kayıtlı değilse: WannaCry şifreleme başlatır
-- Domain kayıtlıysa ve NXDOMAIN değilse: DURUR!
-- 12 Mayıs 2017: MarcusHutchins $10.69'a kaydetti ve yayılmayı durdurdu
-- 22 yaşındaki güvenlik araştırmacısı milyonlarca sistemi kurtardı
WANACRY!    -- Kill switch mutex kontrolü
Global\MsWinZonesCacheCounterMutexA  -- Yeniden enfeksiyon önleme mutex

Bitcoin Cüzdanlar

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12EAUVyWUyy4qYnqoAqdq3FLUh
12t9YDPgwueZ9NyMgw519p7
-- Toplam fidye: ~52 BTC (~130,000 USD 2017 değeriyle)
-- Fidye düşük kaldı: otomatik ödeme doğrulama yoktu

WannaCry Hakkında

WannaCry, 12 Mayıs 2017'de başlayan ve 150+ ülkede 200.000+ sistemi etkileyen küresel fidye yazılımı saldırısıdır. NSA'nın EternalBlue (MS17-010) açığını SMBv1 üzerinden kullanır. Kuzey Kore'nin Lazarus grubu tarafından gerçekleştirildi. İngiltere NHS sağlık sistemi, Telefonica, FedEx gibi kurumlar etkilendi.

IOC

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Kill Switchiuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
BTC115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
StringWANACRY!

WannaCry — Perfil del malware

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Tipo de malware
Ransomware
Lenguaje de programación
C
Protocolo C2
Sistemas objetivo
Windows
También conocido como (AKA)
WannaCrypt

Detalles técnicos

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Capacidades y comportamiento

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Lista IOC (3 indicadores)

IOC — WannaCry
# DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com # MUTEX 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn # MUTEX 12EAUVyWUyy4qYnqoAqdq3FLUh
TipoValorNota
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
mutex 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn BTC cüzdanı
mutex 12EAUVyWUyy4qYnqoAqdq3FLUh BTC cüzdanı

Servidores C2 (3 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
wannacrykill-switch-domainiuqerfsodp9wanacry-stringeternalbluewannacryptms17-010btc-wallets