Bu rehber, gerçek WannaCry örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 15 domain, 2 mutex).

WannaCry Nedir?

WannaCry, ilk olarak 2017 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Küresel ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde TCP/SMB protokolünü kullanmaktadır.

WannaCry, ransomware kategorisinde bir malware ailesidir. Yetenekler: Anti-Debug, Persistence, Network/Download, Encryption, Remote Download.

Atıf / Tehdit Aktörü: NULL

Teknik Detay: EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
  • 파일larınızın şifreli hale gelmesi ve fidye notu oluşması

파일 Hash 값leri (Antivirüs Tespiti İçin)

Gerçek WannaCry örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash 값i유형Not
7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7SHA256NULL
ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26SHA256NULL
3bd4b18e87e5707986da3059f204bb4e6f9c917e4c576cab484dda391c3e3673SHA256WannaCry
764c5e5d18af9185ceac64577e3b108f7c178b87c21bd1cba73a18719738e51cSHA256WannaCry
555cb9ec0842dce18895c26b81fc108cadc4958970235631fd703d31d7e6ba65SHA256WannaCry
3ff29efc50e11f9d466325cc148861f5MD5NULL
388ed6c8e9e5ba54c49209337f0a71a6MD5NULL
11b8b0934790fc8a74f392f10bb5c7c4MD5WannaCry
4212402fb798b8e332ee153ec3597196MD5WannaCry
2e4931fc4f7fcfcea1192df30ffcb858MD5WannaCry

Süreç Tespiti — Mutex 값leri

Process Explorer veya Process Hacker ile aşağıdaki mutex değerlerini arayın; bu değerlerin varlığı aktif WannaCry enfeksiyonuna işaret eder:

  • GlobalMsWinZonesCacheCounterMutexA
  • GlobalMsWinZonesCacheCounterMutexA

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — 신뢰도li Modda Başlatın

Windows'u Ağ Destekli 신뢰도li Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "신뢰도li önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — WannaCry Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Mutex listesini (yukarıdaki bölüm) Process Hacker ile kontrol edin.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes Anti-Malware
  • Emsisoft Emergency Kit
  • Windows Defender Çevrimdışı Tarama

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen WannaCry C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

Domain Adresleri

  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Şifrelenmiş 파일ların Kurtarılması

Fidye Ödemeyin

Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.

  • No More Ransom Projesi — ücretsiz şifre çözücüler veritabanı
  • VSS Kontrolü: vssadmin list shadows → önceki sürümleri geri yükleyin
  • Yedekten Geri Yükleme: Etkilenmemiş yedekten sistemi kurtarın
  • Kurtarma şu an mümkün değilse verileri saklayın — ilerleyen dönemde şifre çözücü yayınlanabilir

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • 신뢰도ilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

WannaCry — 악성코드 프로필

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

악성코드 유형
Ransomware
프로그래밍 언어
C
C2 프로토콜
대상 시스템
Windows
다른 이름 (AKA)
WannaCrypt

기술 세부 정보

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

C2 서버 (이 패밀리에 대해 3개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
temizlikkaldırmawannacryransomwarevirüs temizleme