Wannacry Ransomware IOCs

ransomware IOC
Опубликовано

Ransomware, получившее публичное название "WannaCry", "WCry" или "WanaCrypt0r" (на основании строк в бинарном файле и зашифрованных файлах), распространилось по меньшей мере в 74 странах, первоначально нацелившись, как сообщается, на Россию и распространившись, в частности, на телекоммуникации, судоходство, автопроизводителей, университеты и здравоохранение. Вредоносная программа шифрует файлы пользователя, требуя плату в размере 300 или 600 долларов США в биткоинах на адрес, указанный в инструкциях, отображаемых после заражения.

Wannacry

WannaCry ransomware состоит из нескольких компонентов. Начальный дроппер содержит шифровальщик как встроенный ресурс; компонент шифровальщика содержит приложение для расшифровки ("Wana Decrypt0r 2.0"), защищенный паролем zip, содержащий копию Tor, и несколько отдельных файлов с информацией о конфигурации и ключами шифрования. На момент подготовки данного отчета окончательно неизвестно, какой вектор был использован для первоначального заражения. Были предположения, что в фишинговой кампании был распространен PDF-файл, но аналитики не подтвердили это предположение.

Использование в кампании SMB-червя для распространения WCry повышению степени вирулентности этой вымогательской программы. При запуске червь пытается установить HTTP-соединение с www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Если соединение успешно, то червь прекращает работу и выходит из программы. Разработчики могли добавить этот тест HTTP-соединения, чтобы предотвратить запуск и анализ вредоносной программы автоматическими песочницами.

Червь использует эксплойт SMBv1, который происходит от инструментов, выпущенных группой угроз Shadow Brokers. Червь специально проверяет наличие бэкдора DoublePulsar на скомпрометированных системах. Если бэкдор DoublePulsar отсутствует, то SMB-червь пытается скомпрометировать цель, используя эксплойт Eternalblue SMBv1. Распространение зависит от двух потоков процессов. После того как первый поток определяет подсеть локальной сети, SMB-червь сканирует локальные адреса, начиная с начала нетблока и увеличивая на единицу до конца нетблока. Второй поток сканирует случайно выбранные внешние IP-адреса.

SMB-червь доставляет себя в зараженную систему в виде полезной нагрузки в виде DLL-файла. После выполнения DLL с одной экспортируемой функцией PlayGame, он записывает копию оригинального SMB-червя в C:\Windows\mssecsvc.exe и затем выполняет этот файл. Затем SMB-червь сбрасывает вторичную полезную нагрузку из раздела ресурсов в C:\Windows\tasksche.exe и выполняет этот файл.

Indicators of Compromise

IPv4

  • 128.31.0.39
  • 149.202.160.69
  • 197.231.221.211
  • 46.101.166.19
  • 91.121.65.179
  • 104.17.244.81
  • 104.16.173.80

Domains

  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion
  • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

URLs

  • https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
  • http://www.btcfrog.com/qr/bitcoinpng.php?address
  • http://www.rentasyventas.com/incluir/rk/imagenes.html
  • http://www.rentasyventas.com/incluir/rk/imagenes.html?retencion=081525418

MD5

  • 05a00c320754934782ec5dec1d5c0476
  • 05da32043b1e3a147de634c550f1954d
  • 246c2781b88f58bc6b0da24ec71dd028
  • 2b4e8612d9f8cdcf520a8b2e42779ffa
  • 31dab68b11824153b4c975399df0354f
  • 3c6375f586a49fc12a4de9328174f0c1
  • 3e0020fc529b1c2a061016dd2469ba96
  • 46d140a0eb13582852b5f778bb20cf0e
  • 492c258c5bcbdd812fddd99b2427da99
  • 4fef5e34143e646dbf9907c4374276f5
  • 509c41ec97bb81b0567b059aa2f50fe8
  • 54a116ff80df6e6031059fc3036464df
  • 5a89aac6c8259abbba2fa2ad3fcefc6e
  • 5bef35496fcbdbe841c82f4d1ab8b7c2
  • 5dcaac857e695a65f5c3ef1441a73a8f
  • 638f9235d038a0a001d5ea7f5c5dc4ae
  • 63fb6dd827559c0ed40c4c3725f7fc0a
  • 7bf2b57f2a205768755c07f238fb32cc
  • 7f7ccaa16fb15eb1c7399d422f8363e8
  • 80a2af99fd990567869e9cf4039edf73
  • 8495400f199ac77853c53b5a3f278f3e
  • 84c82835a5d21bbcf75a61706d8ab549
  • 86721e64ffbd69aa6944b9672bcabb6d
  • 8db349b97c37d22f5ea1d1841e3c89eb
  • 8e97637474ab77441ae5add3f3325753
  • ad4c9de7c8c40813f200ba1c2fa33083
  • b7f7ad4970506e8547e0f493c80ba441
  • bec0b7aff4b107edd5b9276721137651
  • c17170262312f3be7027bc2ca825bf0c
  • c39ed6f52aaa31ae0301c591802da24b
  • c61256583c6569ac13a136bfd440ca09
  • c9ede1054fef33720f9fa97f5e8abe49
  • d6114ba5f10ad67a4131ab72531f02da
  • d724d8cc6420f06e8a48752f0da11c66
  • db349b97c37d22f5ea1d1841e3c89eb4
  • f107a717f76f4f910ae9cb4dc5290594
  • f5c0755e5f08dabf1119c193e96539a6
  • f9992dfb56a9c6c20eb727e6a26b0172
  • f9cee5e75b7f1298aece9145ea80a1d2
  • fa44d43242f0bcc6d64569e4869e4913

SHA1

  • 0c16196d93b076f4648a9b1b027e7735845cab20
  • 29da372c816ac0d636657a76ab7712ae8106cb45
  • 3b669778698972c402f7c149fc844d0ddb3a00e8
  • 45356a9dd616ed7161a3b9192e2f318d0ab5ad10
  • 47a9ad4125b6bd7c55e4e7da251e23f089407b8f
  • 5109c0738c126e65db8a92e1ff24f3291837f627
  • 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
  • 6fbb0aabe992b3bda8a9b1ecd68ea13b668f232e
  • 7b10aaeee05e7a1efb43d9f837e9356ad55c07dd
  • 8e7211b1455dedfe1f84cc60a7ed593f78dfb6e1
  • be5d6279874da315e3080b06083757aad9b32c23
  • c3a91c22b63f6fe709e7c29cafb29a2ee83e6ade
  • d1af27518d455d432b62d73c6a1497d032f6120e
  • e889544aff85ffaf8b0d0da705105dee7c97fe26
  • f19eceda82973239a1fdc5826bce7691e5dcb4fb

SHA256

  • 07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • 0a73291ab5607aef7db23863cf8e72f55bcb3c273bb47f00edf011515aeb5894
  • 0e5ece918132a2b1a190906e74becb8e4ced36eec9f9d1c70f5da72ac4c6b92a
  • 11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
  • 1465987e3c28369e337f00e59105dea06a3d34a94c2a290caed887e2fed785ac
  • 149601e15002f78866ab73033eb8577f11bd489a4cea87b10c52a70fdf78d9ff
  • 16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab
  • 190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e
  • 21ed253b796f63b9e95b4e426a82303dfac5bf8062bfe669995bde2208b360fd
  • 228780c8cff9044b2e48f0e92163bd78cc6df37839fe70a54ed631d3b6d826d5
  • 2372862afaa8e8720bc46f93cb27a9b12646a7cbc952cc732b8f5df7aebb2450
  • 24076e8485c72e4f9cf997c1f3670337231e401a043505e489606fff5758150f
  • 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
  • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd
  • 2c2d8bc91564050cf073745f1b117f4ffdd6470e87166abdfcd10ecdff040a2e
  • 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d
  • 3324483d27e716feb408b5d16b82540731faf435b9325497df779d72e7a6b765
  • 3ecc7b1ee872b45b534c9132c72d3523d2a1576ffd5763fd3c23afa79cf1f5f9
  • 402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c
  • 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
  • 428f22a9afd2797ede7c0583d34a052c32693cbb55f567a60298587b6e675c6f
  • 43d1ef55c9d33472a5532de5bbe814fefa5205297653201c30fdc91b8f21a0ed
  • 4870714e654ad4ca7b480b81195f29c56353c6f42d66754ad414c1bc1d25fbb9
  • 49fa2e0131340da29c564d25779c0cafb550da549fae65880a6b22d45ea2067f
  • 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79
  • 593bbcc8f34047da9960b8456094c0eaf69caaf16f1626b813484207df8bd8af
  • 5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec
  • 5c1f4f69c45cff9725d9969f9ffcf79d07bd0f624e06cfa5bcbacd2211046ed6
  • 616e60f031b6e7c4f99c216d120e8b38763b3fafd9ac4387ed0533b15df23420
  • 62d828ee000e44f670ba322644c2351fe31af5b88a98f2b2ce27e423dcf1d1b1
  • 66334f10cb494b2d58219fa6d1c683f2dbcfc1fb0af9d1e75d49a67e5d057fc5
  • 6bf1839a7e72a92a2bb18fbedf1873e4892b00ea4b122e48ae80fac5048db1a7
  • 6fa17600177c2032c3c3a3c06df6cf7d8dba1d32db146d9dd87aecf3f39fb898
  • 71b25aeae6470f9ab93db1e80a500bf61282ae8dc505a8e3c781309e46037613
  • 72af12d8139a80f317e851a60027fdf208871ed334c12637f49d819ab4b033dd
  • 7a828afd2abf153d840938090d498072b7e507c7021e4cdd8c6baf727cafc545
  • 7c465ea7bcccf4f94147add808f24629644be11c0ba4823f16e8c19e0090f0ff
  • 85ce324b8f78021ecfc9b811c748f19b82e61bb093ff64f2eab457f9ef19b186
  • 8b52f88f50a6a254280a0023cf4dc289bd82c441e648613c0c2bb9a618223604
  • 8c3a91694ae0fc87074db6b3e684c586e801f4faed459587dcc6274e006422a4
  • 9588f2ef06b7e1c8509f32d8eddfa18041a9cc15b1c90d6da484a39f8dcdf967
  • 963caaac4a537ad1250fe77510906236261bc7b8ac3c72269d6c059cb5f8f71d
  • 97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6
  • 9b3262b9faecb28da4637444f54c060c8d884c3e8cf676815e8ae5a72af48ed4
  • 9b60c622546dc45cca64df935b71c26dcf4886d6fa811944dbc4e23db9335640
  • 9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977
  • a1d9cd6f189beff28a0a49b10f8fe4510128471f004b3e4283ddc7f78594906b
  • a897345b68191fd36f8cefb52e6a77acb2367432abb648b9ae0a9d708406de5b
  • a93ee7ea13238bd038bcbec635f39619db566145498fe6e0ea60e6e76d614bd3
  • aae9536875784fe6e55357900519f97fee0a56d6780860779a36f06765243d56
  • b3c39aeb14425f137b5bd0fd7654f1d6a45c0e8518ef7e209ad63d8dc6d0bac7
  • b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c
  • b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0
  • b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
  • bdc8f135484daf898c6d76a244e630a797652b0af1722712515ce844c66bf4af
  • c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
  • c863b4b4780d6ce53827049d3733863283aaeb4d4ae806fc2c5cfbd9eb236ab8
  • d5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa
  • d8a9879a99ac7b12e63e6bcae7f965fbf1b63d892a8649ab1d6b08ce711f7127
  • e14f1a655d54254d06d51cd23a2fa57b6ffdf371cf6b828ee483b1b1d6d21079
  • e18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b
  • e8450dd6f908b23c9cbd6011fe3d940b24c0420a208d6924e2d920f92c894a96
  • eb47cd6a937221411bb8daf35900a9897fb234160087089a064066a65f42bcd4
  • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
  • f7c7b5e4b051ea5bd0017803f40af13bed224c4b0fd60b890b6784df5bd63494
  • f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
  • fb0b6044347e972e21b6c376e37e1115dab494a2c6b9fb28b92b1e45b45d0ebc

Похожие записи:

  1. WannaCry 3.0 (Crypter) Ransomware IOCs
  2. LokiLocker Ransomware IOC
  3. Wannacry killswitch
  4. Hive Ransomware IOC
  5. AvosLocker Ransomware IOC
Ransomware WannaCry
Добавить комментарий