Dosya Kimliği
| SHA256 | 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f |
|---|---|
| Boyut | 141.312 byte (core DLL/PE) |
| String Sayisi | 580 (yoğun sıkıştırma) |
Ağ Erişimi
InternetOpenUrlA -- WinInet HTTP erişimi (C2/öldürme anahtarı kontrolü)
WannaCry Hakkında
WannaCry, Mayıs 2017'de küresel salgına neden olan Kuzey Kore (Lazarus Group) bağlantılı ransomware ailesidir. NSA sızdırılan EternalBlue (MS17-010 SMB) istismarını kullanarak otomatik yayılım yapar. 150+ ülkede 200,000+ sistem etkilenmiştir. "WannaKill" kill-switch domain bulunarak durdurulmuştur.
IOC
| SHA256 | 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f |
|---|---|
| Yayılım | EternalBlue (MS17-010 SMB) |
WannaCry — Malware Profile
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
Technical Details
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
Capabilities & Behavior
IOC List (1 indicators)
# SHA256
9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f
| Type | Value | Note |
|---|---|---|
| sha256 | 9ef1cd4cb8ea11e2353228c324a79d074ef1326815abbe8a3c5f7b2d0e4a1c6f |
C2 Servers (3 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.