Si bien han surgido nuevas variantes de Wannacry , la antigua variante todavía está merodeando por las esquinas y no estoy seguro de si Las siguientes direcciones IP y dominios de devolución de llamada deben bloquearse según los típicos playbooks / runbooks de ransomware, ya que ahora se duplican como kill cambia a un sumidero :
Dominios:
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
iuqerfsodp9ifjaposdfjhgosurijfaewrwergweb.com
iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com
-
ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com
IPs
144.217.254.3
144.217.74.156
184.168.221.43
217.182.141.137
217.182.172.139
52.57.88.48
54.153.0.145
79.137.66.14
¿Debería bloquearse lo anterior? ¿O permite comunicarse para actuar como un interruptor de muerte?
(Esta pregunta es diferente de ¿Cómo se está propagando el software malicioso" WannaCry "y cómo deberían defenderse de él los usuarios? ya que la respuesta típica es bloquear todo C & C dominios / IPs, pero en este caso, no estoy seguro ya que la C & C defectuosa actuó como un interruptor de detención)