Información del archivo
| Propiedad | Valor |
|---|---|
| SHA256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| MD5 | 388ed6c8e9e5ba54c49209337f0a71a6 |
| SHA1 | |
| Nombre de archivo | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| Tamaño | 1,971,182 bytes |
| Arquitectura | x86 |
| Fecha de compilación | Desconocido |
| Packer | Tespit edilmedi |
| MB primera detección | 2026-06-29 |
| Etiquetas MB | exe, WannaCry, dionaea |
Perfil de amenaza
Familia: WannaCry Clasificación: ALTO Confianza: HIGH
Bu WannaCry örneği (ffb966fc), Dionaea honeypot tarafından aktif SMB exploit girişimi sırasında yakalanmıştır. İlk örnekten (7face3cc) biraz daha büyük (1.97 MB vs 1.72 MB) olup farklı bir dağıtım varyantı olduğunu göstermektedir. Strings analizinde "WANACRY!", "WNcry@2ol7", "c.wnry", "t.wnry" imzaları ve kill switch domain tespit edilmiştir. Bu örnek, WannaCry'ın hâlâ aktif olarak SMB scanning yaptığını ve honeypot sistemleri hedeflediğini doğrulamaktadır.
Capacidades detectadas
- SMB Worm (EternalBlue/CVE-2017-0144)
- Archivo Şifreleme (RSA-2048 + AES-128)
- .wnry dosya uzantısı
- Bitcoin fidye talebi
- Ağ tarama (SMB port 445)
- Kill switch domain kontrolü (sinkholed)
- mssecsvc2.0 servis kalıcılığı
Anti-Analiz Teknikleri
- Kill switch mekanizması (tersine mühendisliği zorlaştırır)
- Anti-emulation kontrolleri
Kalıcılık Mekanizmaları
mssecsvc.exeHKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0
Enjeksiyon Teknikleri
- Tespit edilmedi (statik analizde obfuscated)
C2 Sunucuları
| Adres | Port | Protokol | Durum |
|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | 80 | HTTP | SINKHOLED |
IOC Listesi
| Tip | Valor |
|---|---|
| sha256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| md5 | 388ed6c8e9e5ba54c49209337f0a71a6 |
| domain | hS.Uk |
| domain | Microsoft.NET |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
WannaCry — Perfil del malware
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
Detalles técnicos
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
Capacidades y comportamiento
Lista IOC (5 indicadores)
# SHA256
ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
# MD5
388ed6c8e9e5ba54c49209337f0a71a6
# DOMAIN
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# DOMAIN
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# MUTEX
GlobalMsWinZonesCacheCounterMutexA
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 | |
| md5 | 388ed6c8e9e5ba54c49209337f0a71a6 | |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
Servidores C2 (3 servidores registrados para esta familia)
| Dirección | Tipo | Puerto | Protocolo | Estado | País |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.