WannaCry — Analyse statique profonde (ffb966fc)

Résumé de la menace
FamilleWannaCry
Niveau de menaceÉLEVÉ
PlatformC/C++ (Win32 API)
PackerTespit edilmedi
SHA256ffb966fce55f67726e7f8084a1dc21b8...
Première observation2026-06-29
Méthode de détectionMalwareBazaar + Kill Switch Domain + WANACRY! imzası
ConfianceHIGH

Informations sur le fichier

PropriétéValeur
SHA256ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
MD5388ed6c8e9e5ba54c49209337f0a71a6
SHA1
Nom du fichierffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
Taille1,971,182 bytes
Architecturex86
Date de compilationInconnu
PackerTespit edilmedi
MB première observation2026-06-29
Étiquettes MBexe, WannaCry, dionaea

Profil de menace

Famille: WannaCry   Classification: ÉLEVÉ   Confiance: HIGH

Bu WannaCry örneği (ffb966fc), Dionaea honeypot tarafından aktif SMB exploit girişimi sırasında yakalanmıştır. İlk örnekten (7face3cc) biraz daha büyük (1.97 MB vs 1.72 MB) olup farklı bir dağıtım varyantı olduğunu göstermektedir. Strings analizinde "WANACRY!", "WNcry@2ol7", "c.wnry", "t.wnry" imzaları ve kill switch domain tespit edilmiştir. Bu örnek, WannaCry'ın hâlâ aktif olarak SMB scanning yaptığını ve honeypot sistemleri hedeflediğini doğrulamaktadır.

Capacités détectées

  • SMB Worm (EternalBlue/CVE-2017-0144)
  • Fichier Şifreleme (RSA-2048 + AES-128)
  • .wnry dosya uzantısı
  • Bitcoin fidye talebi
  • Ağ tarama (SMB port 445)
  • Kill switch domain kontrolü (sinkholed)
  • mssecsvc2.0 servis kalıcılığı

Anti-Analiz Teknikleri

  • Kill switch mekanizması (tersine mühendisliği zorlaştırır)
  • Anti-emulation kontrolleri

Kalıcılık Mekanizmaları

  • mssecsvc.exe
  • HKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

AdresPortProtokolDurum
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com80HTTPSINKHOLED

IOC Listesi

TipValeur
sha256ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
md5388ed6c8e9e5ba54c49209337f0a71a6
domainhS.Uk
domainMicrosoft.NET
domainwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domainiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutexGlobalMsWinZonesCacheCounterMutexA

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

WannaCry — Profil du malware

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Type de malware
Ransomware
Langage de programmation
C
Protocole C2
Systèmes ciblés
Windows
Aussi connu sous (AKA)
WannaCrypt

Détails techniques

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Capacités et comportement

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Liste IOC (5 indicateurs)

IOC — WannaCry
# SHA256 ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 # MD5 388ed6c8e9e5ba54c49209337f0a71a6 # DOMAIN www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # MUTEX GlobalMsWinZonesCacheCounterMutexA
TypeValeurNote
sha256 ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
md5 388ed6c8e9e5ba54c49209337f0a71a6
domain www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutex GlobalMsWinZonesCacheCounterMutexA

Serveurs C2 (3 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
wannacryransomwarewormsmbeternalbluecve-2017-0144peanalizstatikiocdionaea