Önemli bir fidye saldırısı olmak üzere tüm dünyada etkiledi, bunlar arasında Telefonica (ispanya) Ulusal Sağlık hizmetleri ( İngiltere) ve FedeX (Abd) olmak üzere büyük kuruluşları ele geçirmeyi başardı.
WannaCry öncelikle ETERNALBLUE modüllerini ve DOUBLEPULSAR arka kapısını kullanıyor gibi görünüyor. Kötü amaçlı yazılım, SMB açığının ilk kullanımı için ETERNALBLUE kullanır. Başarılı olursa, daha sonra DOUBLEPULSAR arka kapısına yerleştirilir ve kötü amaçlı yazılım yüklemek için kullanır. yükleme başarısız olursa ve DOUBLEPULSAR arka kapı zaten yüklendiyse, kötü amaçlı yazılım, fare simgesi işleyişin i durdurmak için yüklemek için bunu kaldıracaktır.
Hizmetler’de mssecsvc2.0 oluşturulur. Bu hizmet mssecsvc.exe dosyasını ilk çalıştırmadan farklı bir giriş noktası ile çalıştırır. Bu ikinci uygulama, virüs bulaşmış makinenin IP adresini kontrol eder ve aynı alt ağdaki her bir IP adresinin 445 numaralı portuna bağlanmaya çalışır.
Tasksche.exe dosyası, ağ paylaşımları ve “C: ‘D:” gibi harflerle eşlenen ve çıkarılabilir depolama aygıtları da dahil olmak üzere disk sürücülerini denetler. Daha sonra kötü amaçlı yazılım, aşşağıda belirttiğim dosya uzantısına sahip dosyaları denetler ve bunları 2048 bit RSA şifrelemesi kullanarak şifreler. Dosyalar şifreliyorken, zararlı yazılım tor.exe’yi ve tor.exe tarafından kullanılan 9 dll dosyasını içine alan yeni bir ‘Tor /’ dosya dizini oluşturur.
Ayrıca, iki tane daha dosya bırakır: taskdl.exe ve taskse.exe. Geçici dosyalar silinirken, ikincisi masaüstündeki fidye notunu son kullanıcıya göstermek için @ wanadecryptor @ .exe’yi bbaşlatır. @ Wanadecryptor @ .exe, bu programlar fidye yazılımı değildir, sadece hep gördüğünüz şu hesaba şu kadar para yatırın notunu çalıştıran programdır. Şifreleme ise arka planda tasksche.exe tarafından gerçekleştirilir.
Şifreleme tamamlandıktan sonra, kötü amaçlı yazılım şu notunu görüntüler. Bu ransomware varyantının ilginç bir yanı fidye ekranının gerçekte bir çalıştırılabilir ve resim değil HTA dosyası veya metin dosyası olmasıdır.
Genel Bilgiler
Dosya adları
D5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa b.wnry
055c7760512c98c8d51e4427227fe2a7ea3b34ee63178fe78631fa8aa6d15622 c.wnry
402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c r.wnry
E18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b kanalı
4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 taskdl.exe
2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d taskse.exe
97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6 t.wnry
B9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 yeni kullanıcı
CnC IP’ler
[.] 188 166 23 127 [.] [.]: 443
[.] 193 23 244 244 [.] [.]: 443
[.] 2 3 69 209 [.] [.]: 9001
[.] 146 0 32 144 [.] [.]: 9001
[.] 50 7 161 218 [.] [.]: 9001
217.79.179 [.] 77
128.31.0 [.] 39
213.61.66 [.] 116
212.47.232 [.] 237
81.30.158 [.] 223
79.172.193 [.] 32
89.45.235 [.] 21
38.229.72 [.] 16
188.138.33 [.] 220
Gözlemlenen Kullanıcı yetki değerleri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 yazılımı tarafından şifrelenmiş dosya adlarının listesi
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif , .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp,. .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif , .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi,. .sdx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx , .doc,
Dosya Dizinleri
@Please_Read_Me@.txt
@WanaDecryptor@.exe
@WanaDecryptor@.exe.lnk
Please Read Me!.txt (Older variant)
C:\WINDOWS\tasksche.exe
C:\WINDOWS\qeriuwjhrf
131181494299235.bat
176641494574290.bat
217201494590800.bat
[0-9]{15}.bat #regex
!WannaDecryptor!.exe.lnk
00000000.pky
00000000.eky
00000000.res
C:\WINDOWS\system32\taskdl.exe
Yazılımın dosya boyutu 3,4MB dır.
