Офтоп Никита Лихачёв
26 367

Вирус-вымогатель остановили, зарегистрировав домен с бессмысленным названием

В закладки

Вирус-шифровальщик, поразивший десятки тысяч компьютеров по всему миру 12 мая, удалось остановить благодаря регистрации доменного имени iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Как выяснили специалисты по безопасности, этот адрес был зашит в коде вируса.

В вирусе была зашита «аварийная» кнопка. Скриншот @darienhuss

По всей видимости, домен-белиберда был зашит в Wana Decrypt0r на самый крайний случай, если распространение вируса внезапно потребуется остановить. Однако это было явно не в интересах самих злоумышленниников, и «аварийный» домен вообще не был зарегистрирован.

До тех пор, пока запросы к домену продолжали не возвращаться, вирус продолжал работать. Автор @MalwareTechBlod вместе со специалистом из Proofpoint Дэриеном Хассом (Darien Huss) зарегистрировали домен и обнаружили, что распространение прекратилось.

Something like this is incredibly significant, we've not seen P2P spreading on PC via exploits at this scale in nearly a decade.
«Нечто подобное очень важно, мы не видели P2P-распространения ПК-эксплойтов на подобном уровне около десятилетия»
Some analysts are suggesting by sinkholing the domain we stopped the infection? Can anyone confirm?
«Некоторые аналитики предполагают, что создав домен можно остановить заражение. Кто-то может подтвердить?»
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
«Признаюсь, до регистрации домена я не знал, что таким образом я остановлю распространение трояна. Так что изначально это вышло случайно»

При этом, как пояснил @MalwareTechBlog, всё, что нужно сделать злоумышленникам — это изменить адрес в вирусе, после чего тот продолжит работать. Поэтому вирус не удалось остановить совсем — специалист лишь временно приостановил распространение той версии, что атаковала компьютеры 12 мая.

So long as the domain isn't revoked, this particular strain will no longer cause harm, but patch your systems ASAP as they will try again.
«До тех пор, пока домен не отозван, этот конкретный штамм вируса больше вреда не причинит. Но пропатчьте свои системы как можно быстрее — они [злоумышленники] будут пробовать снова»
It's very important everyone understands that all they need to do is change some code and start again. Patch your s… https://t.co/qE8Vhh83qX
«Очень важно, чтобы все понимали: им нужно лишь изменить немного кода и начать заново. Пропатчьте системы сейчас же!»

Масштабная кибератака началась 12 мая: первыми пострадали больницы в Англии, где из-за паралича компьютерных сетей пациентов стали отправлять не туда, куда нужно. Затем атака перекинулась ещё на десятки стран, в том пострадали телекоммуникационные гиганты Испании и Португалии.

Однако больше всего случаев заражения пришлось на Россию. Из крупных организаций вирус-вымогатель затронул МВД, «МегаФон» и Yota. В Сбербанке удалось отбить атаку.

#ВирусВымогатель

{ "author_name": "Никита Лихачёв", "author_type": "editor", "tags": ["\u0432\u0438\u0440\u0443\u0441\u0432\u044b\u043c\u043e\u0433\u0430\u0442\u0435\u043b\u044c"], "comments": 33, "likes": 65, "favorites": 3, "is_advertisement": false, "subsite_label": "flood", "id": 44269, "is_wide": false, "is_ugc": false, "date": "Sat, 13 May 2017 11:30:38 +0300" }
Комментарии

Неплохой глобус

18

Рахиты, надо было дёргать ответ, а не строку адреса, и на клиенте только хэш проверять.
Позаканчивают шараг и идут вирусы писать.

Офтоп
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]
Оперативные новости со всего мира
Подписаться на push-уведомления