Вирус-вымогатель остановили, зарегистрировав домен с бессмысленным названием
Вирус-шифровальщик, поразивший десятки тысяч компьютеров по всему миру 12 мая, удалось остановить благодаря регистрации доменного имени iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Как выяснили специалисты по безопасности, этот адрес был зашит в коде вируса.
В вирусе была зашита «аварийная» кнопка. Скриншот @darienhuss
По всей видимости, домен-белиберда был зашит в Wana Decrypt0r на самый крайний случай, если распространение вируса внезапно потребуется остановить. Однако это было явно не в интересах самих злоумышленниников, и «аварийный» домен вообще не был зарегистрирован.
До тех пор, пока запросы к домену продолжали не возвращаться, вирус продолжал работать. Автор @MalwareTechBlod вместе со специалистом из Proofpoint Дэриеном Хассом (Darien Huss) зарегистрировали домен и обнаружили, что распространение прекратилось.
При этом, как пояснил @MalwareTechBlog, всё, что нужно сделать злоумышленникам — это изменить адрес в вирусе, после чего тот продолжит работать. Поэтому вирус не удалось остановить совсем — специалист лишь временно приостановил распространение той версии, что атаковала компьютеры 12 мая.
Масштабная кибератака началась 12 мая: первыми пострадали больницы в Англии, где из-за паралича компьютерных сетей пациентов стали отправлять не туда, куда нужно. Затем атака перекинулась ещё на десятки стран, в том пострадали телекоммуникационные гиганты Испании и Португалии.
Однако больше всего случаев заражения пришлось на Россию. Из крупных организаций вирус-вымогатель затронул МВД, «МегаФон» и Yota. В Сбербанке удалось отбить атаку.
#ВирусВымогатель