Manuel Statik Analiz — WannaCry (WannaCrypt) | Tehdit: KRITIK

Файл Kimliği

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Размер743.424 byte
String Sayisi3.352

Tarihi Kill Switch Domaini

Dünya tarihinin en önemli malware kill switch'i! MarcusHutchins bu domaini kaydederek WannaCry salgınını durdurdu.
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
-- Domain kayıtlı değilse: WannaCry şifreleme başlatır
-- Domain kayıtlıysa ve NXDOMAIN değilse: DURUR!
-- 12 Mayıs 2017: MarcusHutchins $10.69'a kaydetti ve yayılmayı durdurdu
-- 22 yaşındaki güvenlik araştırmacısı milyonlarca sistemi kurtardı
WANACRY!    -- Kill switch mutex kontrolü
Global\MsWinZonesCacheCounterMutexA  -- Yeniden enfeksiyon önleme mutex

Bitcoin Cüzdanlar

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12EAUVyWUyy4qYnqoAqdq3FLUh
12t9YDPgwueZ9NyMgw519p7
-- Toplam fidye: ~52 BTC (~130,000 USD 2017 değeriyle)
-- Fidye düşük kaldı: otomatik ödeme doğrulama yoktu

WannaCry Hakkında

WannaCry, 12 Mayıs 2017'de başlayan ve 150+ ülkede 200.000+ sistemi etkileyen küresel fidye yazılımı saldırısıdır. NSA'nın EternalBlue (MS17-010) açığını SMBv1 üzerinden kullanır. Kuzey Kore'nin Lazarus grubu tarafından gerçekleştirildi. İngiltere NHS sağlık sistemi, Telefonica, FedEx gibi kurumlar etkilendi.

IOC

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Kill Switchiuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
BTC115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
StringWANACRY!

WannaCry — Профиль вредоносного ПО

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Тип вредоносного ПО
Ransomware
Язык программирования
C
C2 Протокол
Целевые системы
Windows
Другие названия (AKA)
WannaCrypt

Технические детали

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Возможности и поведение

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Список IOC (3 индикаторов)

IOC — WannaCry
# DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com # MUTEX 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn # MUTEX 12EAUVyWUyy4qYnqoAqdq3FLUh
ТипЗначениеПримечание
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
mutex 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn BTC cüzdanı
mutex 12EAUVyWUyy4qYnqoAqdq3FLUh BTC cüzdanı

C2 Серверы (3 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
wannacrykill-switch-domainiuqerfsodp9wanacry-stringeternalbluewannacryptms17-010btc-wallets