Ho cercato OpenDNS come qualcosa da usare nella mia azienda, e affermano che il ransomware in stile Cryptolocker utilizza quasi sempre il DNS per" telefonare a casa "e OpenDNS lo blocca, impedendo al ransomware di fare qualcosa di malevolo. Questo mi sembra un po 'dubbioso, poiché penserei che i creatori di malware possano utilizzare IP hardcode o IP server DNS hardcode (come una versione ombreggiata di 8.8.8.8) invece di utilizzare il server DNS predefinito del sistema operativo. Ottengo che gli IP hardcoded per il controllore botnet (o dove il malware sta telefonando a casa) sarebbero problematici se quell'IP venisse spento o bloccato, ma immagino che potrebbero usare un DNS diverso che continuerebbe a risolvere il loro hostname anche se lo stavano usando in modo nefasto.
Mi manca qualcosa? E 'davvero così che il ransomware agisce in natura, o questa affermazione è solo di marketing? C'è qualche ragione tecnica per cui il ransomware userebbe il server DNS del sistema operativo e non potrebbe usare il proprio?