WannaCry — Deep Static Analysis (7face3cc)

Tehdit Özeti
AileWannaCry
Tehdit SeviyesiYÜKSEK
PlatformC/C++ (Win32 API)
PackerTespit edilmedi
SHA2567face3ccbf29cfc4294e3058cfb88713...
İlk Görülme2026-06-29
Tespit YöntemiMalwareBazaar + İmza Eşleşmesi + Kill Switch Domain
GüvenHIGH

Dosya Bilgileri

ÖzellikDeğer
SHA2567face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
MD53ff29efc50e11f9d466325cc148861f5
SHA1
Dosya Adı7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
Boyut1,724,564 bytes
Mimarix86
Derleme TarihiBilinmiyor
PackerTespit edilmedi
MB İlk Görülme2026-06-29
MB Etiketleriexe, WannaCry, dionaea

Tehdit Profili

Aile: WannaCry   Sınıflandırma: YÜKSEK   Güven: HIGH

WannaCry (WanaCrypt0r 2.0), Mayıs 2017'de küresel bir siber saldırıda kullanılan, EternalBlue SMB açığını (CVE-2017-0144) istismar eden worm/ransomware ailesidir. Bu örnek Dionaea honeypot tarafından yakalanmış olup aktif SMB exploit denemeleri yaptığını göstermektedir. Kill switch domain "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" strings analizinde tespit edilmiş olup bu domain bugün sinkholed durumundadır — yani modern sistemlerde WannaCry'ın şifreleme motoru çalışmayabilir. Ancak SMB tarama ve yayılma bileşeni hâlâ aktif tehdit oluşturmaktadır. Dosyaları RSA-2048 (wrapper) + AES-128 (içerik) ile şifreler.

Tespit Edilen Yetenekler

  • SMB Worm (EternalBlue/CVE-2017-0144 exploit)
  • Dosya Şifreleme (RSA-2048 + AES-128)
  • .wnry uzantısı ile dosya değiştirme
  • Bitcoin fidye talebi
  • Ağ tarama ve yayılma (SMB port 445)
  • Kill switch domain kontrolü (sinkholed)
  • mssecsvc2.0 servisi kurulumu

Anti-Analiz Teknikleri

  • Kill switch (domain kontrol)
  • Sandbox ortamında kill switch aktif olabilir

Kalıcılık Mekanizmaları

  • mssecsvc.exe servis olarak kayıt
  • HKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

AdresPortProtokolDurum
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com80HTTPSINKHOLED

IOC Listesi

TipDeğer
sha2567face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
md53ff29efc50e11f9d466325cc148861f5
domainwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domainiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutexGlobalMsWinZonesCacheCounterMutexA

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

WannaCry — Malware Profile

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Malware Type
Ransomware
Programming Language
C
C2 Protocol
Target Systems
Windows
Also Known As (AKA)
WannaCrypt

Technical Details

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (5 indicators)

IOC — WannaCry
# SHA256 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 # MD5 3ff29efc50e11f9d466325cc148861f5 # DOMAIN www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # MUTEX GlobalMsWinZonesCacheCounterMutexA
TypeValueNote
sha256 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
md5 3ff29efc50e11f9d466325cc148861f5
domain www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutex GlobalMsWinZonesCacheCounterMutexA

C2 Servers (3 recorded servers for this family)

Address Type Port Protocol Status Country
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
wannacryransomwarewormsmbeternalbluecve-2017-0144peanalizstatikiocdionaea