Dosya Bilgileri
| Özellik | Değer |
|---|---|
| SHA256 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 |
| MD5 | 3ff29efc50e11f9d466325cc148861f5 |
| SHA1 | |
| Dosya Adı | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 |
| Boyut | 1,724,564 bytes |
| Mimari | x86 |
| Derleme Tarihi | Bilinmiyor |
| Packer | Tespit edilmedi |
| MB İlk Görülme | 2026-06-29 |
| MB Etiketleri | exe, WannaCry, dionaea |
Tehdit Profili
Aile: WannaCry Sınıflandırma: YÜKSEK Güven: HIGH
WannaCry (WanaCrypt0r 2.0), Mayıs 2017'de küresel bir siber saldırıda kullanılan, EternalBlue SMB açığını (CVE-2017-0144) istismar eden worm/ransomware ailesidir. Bu örnek Dionaea honeypot tarafından yakalanmış olup aktif SMB exploit denemeleri yaptığını göstermektedir. Kill switch domain "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" strings analizinde tespit edilmiş olup bu domain bugün sinkholed durumundadır — yani modern sistemlerde WannaCry'ın şifreleme motoru çalışmayabilir. Ancak SMB tarama ve yayılma bileşeni hâlâ aktif tehdit oluşturmaktadır. Dosyaları RSA-2048 (wrapper) + AES-128 (içerik) ile şifreler.
Tespit Edilen Yetenekler
- SMB Worm (EternalBlue/CVE-2017-0144 exploit)
- Dosya Şifreleme (RSA-2048 + AES-128)
- .wnry uzantısı ile dosya değiştirme
- Bitcoin fidye talebi
- Ağ tarama ve yayılma (SMB port 445)
- Kill switch domain kontrolü (sinkholed)
- mssecsvc2.0 servisi kurulumu
Anti-Analiz Teknikleri
- Kill switch (domain kontrol)
- Sandbox ortamında kill switch aktif olabilir
Kalıcılık Mekanizmaları
mssecsvc.exe servis olarak kayıtHKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0
Enjeksiyon Teknikleri
- Tespit edilmedi (statik analizde obfuscated)
C2 Sunucuları
| Adres | Port | Protokol | Durum |
|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | 80 | HTTP | SINKHOLED |
IOC Listesi
| Tip | Değer |
|---|---|
| sha256 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 |
| md5 | 3ff29efc50e11f9d466325cc148861f5 |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
WannaCry — Malware Profile
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
Technical Details
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
Capabilities & Behavior
IOC List (5 indicators)
# SHA256
7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
# MD5
3ff29efc50e11f9d466325cc148861f5
# DOMAIN
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# DOMAIN
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# MUTEX
GlobalMsWinZonesCacheCounterMutexA
| Type | Value | Note |
|---|---|---|
| sha256 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 | |
| md5 | 3ff29efc50e11f9d466325cc148861f5 | |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
C2 Servers (3 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.