Dosya Bilgileri
| Özellik | Değer |
|---|---|
| SHA256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| MD5 | 388ed6c8e9e5ba54c49209337f0a71a6 |
| SHA1 | |
| Dosya Adı | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| Boyut | 1,971,182 bytes |
| Mimari | x86 |
| Derleme Tarihi | Bilinmiyor |
| Packer | Tespit edilmedi |
| MB İlk Görülme | 2026-06-29 |
| MB Etiketleri | exe, WannaCry, dionaea |
Tehdit Profili
Aile: WannaCry Sınıflandırma: YÜKSEK Güven: HIGH
Bu WannaCry örneği (ffb966fc), Dionaea honeypot tarafından aktif SMB exploit girişimi sırasında yakalanmıştır. İlk örnekten (7face3cc) biraz daha büyük (1.97 MB vs 1.72 MB) olup farklı bir dağıtım varyantı olduğunu göstermektedir. Strings analizinde "WANACRY!", "WNcry@2ol7", "c.wnry", "t.wnry" imzaları ve kill switch domain tespit edilmiştir. Bu örnek, WannaCry'ın hâlâ aktif olarak SMB scanning yaptığını ve honeypot sistemleri hedeflediğini doğrulamaktadır.
Tespit Edilen Yetenekler
- SMB Worm (EternalBlue/CVE-2017-0144)
- Dosya Şifreleme (RSA-2048 + AES-128)
- .wnry dosya uzantısı
- Bitcoin fidye talebi
- Ağ tarama (SMB port 445)
- Kill switch domain kontrolü (sinkholed)
- mssecsvc2.0 servis kalıcılığı
Anti-Analiz Teknikleri
- Kill switch mekanizması (tersine mühendisliği zorlaştırır)
- Anti-emulation kontrolleri
Kalıcılık Mekanizmaları
mssecsvc.exeHKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0
Enjeksiyon Teknikleri
- Tespit edilmedi (statik analizde obfuscated)
C2 Sunucuları
| Adres | Port | Protokol | Durum |
|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | 80 | HTTP | SINKHOLED |
IOC Listesi
| Tip | Değer |
|---|---|
| sha256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| md5 | 388ed6c8e9e5ba54c49209337f0a71a6 |
| domain | hS.Uk |
| domain | Microsoft.NET |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
WannaCry — Malware Profile
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
Technical Details
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
Capabilities & Behavior
IOC List (5 indicators)
# SHA256
ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
# MD5
388ed6c8e9e5ba54c49209337f0a71a6
# DOMAIN
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# DOMAIN
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# MUTEX
GlobalMsWinZonesCacheCounterMutexA
| Type | Value | Note |
|---|---|---|
| sha256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 | |
| md5 | 388ed6c8e9e5ba54c49209337f0a71a6 | |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
C2 Servers (3 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.