~ Look, I included a few lines to ^ check if we've been sandboxed, so L. white-hats can't detect us ^ I’ll just pin^ a non-existent domain n it-w r uuia kamsi should reserve it ^ou never know... ^ If the non-existent domain ^ responds, it means we're in a sandbox, so we won't encrypt any files,... / WannaCrypt :: commitstrip :: Комиксы :: WannaCry

iluxa1810

WannaCryptcommitstripКомиксыWannaCry

~ Look, I included a few lines to ^ check if we've been sandboxed, so L. white-hats can't detect us ^
I’ll just pin^ a non-existent domain
n it-w r uuia kamsi
should reserve it ^ou never know...
^ If the non-existent domain ^ responds, it means we're in a sandbox, so we won't encrypt any files,

можо перевод а то я не настолько крут

Ha ha lol

18.05.2017, 16:42

ссылка

+1,9

Вроде про то, как чувак остановил эпидемию зарегистрировав домен.

ТБ-3

18.05.2017, 16:48

ссылка

+6,0

Гляди, я включил пару строк на проверку что код выполняется в песочнице, так что белые-шапки (ибшники) не смогут нас обнаружить.
Я просто буду стучать на несуществующий домен.
Если несуществующий домен ответит, это будет означать что мы в песочнице. Так он не будет шифровать никаких файлов, и тем самым нас никто не обнаружит.
Ха-ха, отлично придумано. Мы получим мнооога биткоинов.

Пару часов спустя.
Хах, этот неактивный домен захардкорен (вшит константой) в их код?
Я должен зарезервировать его, никогда не знаешь…

NikSharp

18.05.2017, 16:50

ссылка

+6,2

Последний фрейм забыл перевести.
Хотя черт его знает, что там за букву заменили астериксом...

Makkiato

18.05.2017, 17:27

ссылка

+0,9

Shat (албанский) - мотыга

Иисyc

18.05.2017, 21:36

ссылка

+1,3

I shat my pants.

freedomisnotfree

20.05.2017, 22:26

ссылка

0,0

Это какой-то профессиональный юмор.

EDGARS

18.05.2017, 18:23

ссылка

-1,4

Кто-нибудь может объяснить, почему в песочнице несуществующий домен должен ответить? Там что, какой-то DNS из зазеркалья, раз он резолвит несуществующие домены?

alustar

18.05.2017, 17:06

ссылка

+2,3

ага, etc/hosts называется

shupakabras

18.05.2017, 17:31

ссылка

+0,5

Не, это не то, притянуто за уши... Файл хостов не резолвит то, чего в нем нет, там по умолчанию только локалхост. Разве что wh-хакер вписывает туда что-то типа * 127.0.0.1. Короч очень профессиональный юмор, похоже.

alustar

18.05.2017, 17:57

ссылка

+0,4

А хотя ты прав, есть смысл - завернуть весь трафик на заглушку и снифить его на предмет анализа, можно сделать при помощи файла хостов

alustar

18.05.2017, 18:01

ссылка

0,0

Исходя из анализа https://habrahabr.ru/post/328548/
Я так понял что нужен сам факт того что домен ответил 200 OK.
Тут hosts как DNS + какой-нибудь простеньких хттп сервер на локалхосте.

shupakabras

18.05.2017, 18:07

ссылка

+0,1

Где то прочитал, что все запросы выполненные из сандбокса получают 200 ответ.

BaSteR

18.05.2017, 18:11

ссылка

+0,0

Просто как правило песочницы всегда резолвят все домены, в надежде перехватить траф вируса. После последнего эпик фейла, полагаю, теперь песочницы попробуют стать умней.