WannaCry — Analyse statique profonde (7face3cc)

Résumé de la menace
FamilleWannaCry
Niveau de menaceÉLEVÉ
PlatformC/C++ (Win32 API)
PackerTespit edilmedi
SHA2567face3ccbf29cfc4294e3058cfb88713...
Première observation2026-06-29
Méthode de détectionMalwareBazaar + Correspondance de signature + Kill Switch Domain
ConfianceHIGH

Informations sur le fichier

PropriétéValeur
SHA2567face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
MD53ff29efc50e11f9d466325cc148861f5
SHA1
Nom du fichier7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
Taille1,724,564 bytes
Architecturex86
Date de compilationInconnu
PackerTespit edilmedi
MB première observation2026-06-29
Étiquettes MBexe, WannaCry, dionaea

Profil de menace

Famille: WannaCry   Classification: ÉLEVÉ   Confiance: HIGH

WannaCry (WanaCrypt0r 2.0), Mayıs 2017'de küresel bir siber saldırıda kullanılan, EternalBlue SMB açığını (CVE-2017-0144) istismar eden worm/ransomware ailesidir. Bu örnek Dionaea honeypot tarafından yakalanmış olup aktif SMB exploit denemeleri yaptığını göstermektedir. Kill switch domain "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" strings analizinde tespit edilmiş olup bu domain bugün sinkholed durumundadır — yani modern sistemlerde WannaCry'ın şifreleme motoru çalışmayabilir. Ancak SMB tarama ve yayılma bileşeni hâlâ aktif tehdit oluşturmaktadır. Fichierları RSA-2048 (wrapper) + AES-128 (içerik) ile şifreler.

Capacités détectées

  • SMB Worm (EternalBlue/CVE-2017-0144 exploit)
  • Fichier Şifreleme (RSA-2048 + AES-128)
  • .wnry uzantısı ile dosya değiştirme
  • Bitcoin fidye talebi
  • Ağ tarama ve yayılma (SMB port 445)
  • Kill switch domain kontrolü (sinkholed)
  • mssecsvc2.0 servisi kurulumu

Anti-Analiz Teknikleri

  • Kill switch (domain kontrol)
  • Sandbox ortamında kill switch aktif olabilir

Kalıcılık Mekanizmaları

  • mssecsvc.exe servis olarak kayıt
  • HKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

AdresPortProtokolDurum
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com80HTTPSINKHOLED

IOC Listesi

TipValeur
sha2567face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
md53ff29efc50e11f9d466325cc148861f5
domainwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domainiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutexGlobalMsWinZonesCacheCounterMutexA

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

WannaCry — Profil du malware

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Type de malware
Ransomware
Langage de programmation
C
Protocole C2
Systèmes ciblés
Windows
Aussi connu sous (AKA)
WannaCrypt

Détails techniques

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Capacités et comportement

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Liste IOC (5 indicateurs)

IOC — WannaCry
# SHA256 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 # MD5 3ff29efc50e11f9d466325cc148861f5 # DOMAIN www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # MUTEX GlobalMsWinZonesCacheCounterMutexA
TypeValeurNote
sha256 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
md5 3ff29efc50e11f9d466325cc148861f5
domain www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutex GlobalMsWinZonesCacheCounterMutexA

Serveurs C2 (3 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
wannacryransomwarewormsmbeternalbluecve-2017-0144peanalizstatikiocdionaea