Manuel Statik Analiz — WannaCry Ransomware | Tehdit: KRITIK

파일 Kimliği

SHA2569ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f
크기141.312 byte (core DLL/PE)
String Sayisi580 (yoğun sıkıştırma)

Ağ Erişimi

InternetOpenUrlA  -- WinInet HTTP erişimi (C2/öldürme anahtarı kontrolü)

WannaCry Hakkında

WannaCry, Mayıs 2017'de küresel salgına neden olan Kuzey Kore (Lazarus Group) bağlantılı ransomware ailesidir. NSA sızdırılan EternalBlue (MS17-010 SMB) istismarını kullanarak otomatik yayılım yapar. 150+ ülkede 200,000+ sistem etkilenmiştir. "WannaKill" kill-switch domain bulunarak durdurulmuştur.

IOC

SHA2569ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f
YayılımEternalBlue (MS17-010 SMB)

WannaCry — 악성코드 프로필

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

악성코드 유형
Ransomware
프로그래밍 언어
C
C2 프로토콜
대상 시스템
Windows
다른 이름 (AKA)
WannaCrypt

기술 세부 정보

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (1 개 지표)

IOC — WannaCry
# SHA256 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f
유형메모
sha256 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f

C2 서버 (이 패밀리에 대해 3개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
wannacryransomwareeternalbluesmb-yayilimeternal-bluensa-exploit