Estuve verificando la zona de pruebas y la información en el enlace del interruptor letal, pero WannaCry no realiza una consulta de DNS. ¿Cómo se llama?
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com
Estuve verificando la zona de pruebas y la información en el enlace del interruptor letal, pero WannaCry no realiza una consulta de DNS. ¿Cómo se llama?
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com
Supongo que es mejor que primero responda la pregunta. Luego, después, voy a elaborar un poco. Pregunta: ¿Cómo se manifiesta? Respuesta: Llama usando el DNS, como sospechabas. El ransomware WannaCry en realidad hace múltiples solicitudes de DNS a lo largo de su ciclo de vida. En la función WinMAIN de su código, intenta conectarse al sitio web con la url de iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Se sospecha que el motivo de la solicitud de DNS es un "interruptor de activación" para el autor, ya sea para su uso en un entorno de prueba de sandbox, o posiblemente un enlace a los CCS (servidores de comando y control).
Las otras solicitudes de DNS están hechas para acceder a la red de ToR (también conocida como Dark Web) para que pueda descargar de manera anónima el programa de cifrado, así como acceder a una billetera de bitcoin para pagar el pago de $ 300.
FUENTES CITADAS : ANÁLISIS DEL CÓDIGO DE WANNACRY - enlace
ANÁLISIS DE ATAQUES DE WANNACRY - enlace