WannaCry — глубокий статический анализ (7face3cc)

Сводка по угрозе
СемействоWannaCry
Уровень угрозыВЫСОКИЙ
PlatformC/C++ (Win32 API)
PackerTespit edilmedi
SHA2567face3ccbf29cfc4294e3058cfb88713...
Первое обнаружение2026-06-29
Метод обнаруженияMalwareBazaar + Совпадение сигнатуры + Kill Switch Domain
ДостоверностьHIGH

Информация о файле

СвойствоЗначение
SHA2567face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
MD53ff29efc50e11f9d466325cc148861f5
SHA1
Имя файла7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
Размер1,724,564 bytes
Архитектураx86
Дата компиляцииНеизвестно
PackerTespit edilmedi
MB первое обнаружение2026-06-29
Метки MBexe, WannaCry, dionaea

Профиль угрозы

Семейство: WannaCry   Классификация: ВЫСОКИЙ   Достоверность: HIGH

WannaCry (WanaCrypt0r 2.0), Mayıs 2017'de küresel bir siber saldırıda kullanılan, EternalBlue SMB açığını (CVE-2017-0144) istismar eden worm/ransomware ailesidir. Bu örnek Dionaea honeypot tarafından yakalanmış olup aktif SMB exploit denemeleri yaptığını göstermektedir. Kill switch domain "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" strings analizinde tespit edilmiş olup bu domain bugün sinkholed durumundadır — yani modern sistemlerde WannaCry'ın şifreleme motoru çalışmayabilir. Ancak SMB tarama ve yayılma bileşeni hâlâ aktif tehdit oluşturmaktadır. Файлları RSA-2048 (wrapper) + AES-128 (içerik) ile şifreler.

Обнаруженные возможности

  • SMB Worm (EternalBlue/CVE-2017-0144 exploit)
  • Файл Şifreleme (RSA-2048 + AES-128)
  • .wnry uzantısı ile dosya değiştirme
  • Bitcoin fidye talebi
  • Ağ tarama ve yayılma (SMB port 445)
  • Kill switch domain kontrolü (sinkholed)
  • mssecsvc2.0 servisi kurulumu

Anti-Analiz Teknikleri

  • Kill switch (domain kontrol)
  • Sandbox ortamında kill switch aktif olabilir

Kalıcılık Mekanizmaları

  • mssecsvc.exe servis olarak kayıt
  • HKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

AdresPortProtokolDurum
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com80HTTPSINKHOLED

IOC Listesi

TipЗначение
sha2567face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
md53ff29efc50e11f9d466325cc148861f5
domainwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domainiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutexGlobalMsWinZonesCacheCounterMutexA

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

WannaCry — Профиль вредоносного ПО

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Тип вредоносного ПО
Ransomware
Язык программирования
C
C2 Протокол
Целевые системы
Windows
Другие названия (AKA)
WannaCrypt

Технические детали

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Возможности и поведение

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Список IOC (5 индикаторов)

IOC — WannaCry
# SHA256 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 # MD5 3ff29efc50e11f9d466325cc148861f5 # DOMAIN www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # MUTEX GlobalMsWinZonesCacheCounterMutexA
ТипЗначениеПримечание
sha256 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
md5 3ff29efc50e11f9d466325cc148861f5
domain www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutex GlobalMsWinZonesCacheCounterMutexA

C2 Серверы (3 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
wannacryransomwarewormsmbeternalbluecve-2017-0144peanalizstatikiocdionaea