При заражении целевого компьютера WannaCry, начинает свою вредоносную деятельность, проверяя наличие жестко закодированного домена kill switch. В случае обнаружения такового вредоносная программа прекращает выполнение.
Однако если домен kill switch не найден, WannaCry шифрует файлы на машине, после чего предпринимается попытка использовать уязвимость SMB. Это делается для того, чтобы распространить вирус на другие случайные ПК и все те, которые подключены к локальной сети.
Kill Switch Domain
- iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Kill Switch IPv4
- 104.17.244.81
- 104.16.173.80
так же встречаются, но данные домены не подтверждаются анализом
- fferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
- iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.test
- www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com