Офтоп
Никита Лихачёв

Вирус-вымогатель остановили, зарегистрировав домен с бессмысленным названием

Вирус-шифровальщик, поразивший десятки тысяч компьютеров по всему миру 12 мая, удалось остановить благодаря регистрации доменного имени iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Как выяснили специалисты по безопасности, этот адрес был зашит в коде вируса.

В вирусе была зашита «аварийная» кнопка. Скриншот @darienhuss

По всей видимости, домен-белиберда был зашит в Wana Decrypt0r на самый крайний случай, если распространение вируса внезапно потребуется остановить. Однако это было явно не в интересах самих злоумышленниников, и «аварийный» домен вообще не был зарегистрирован.

До тех пор, пока запросы к домену продолжали не возвращаться, вирус продолжал работать. Автор @MalwareTechBlod вместе со специалистом из Proofpoint Дэриеном Хассом (Darien Huss) зарегистрировали домен и обнаружили, что распространение прекратилось.

При этом, как пояснил @MalwareTechBlog, всё, что нужно сделать злоумышленникам — это изменить адрес в вирусе, после чего тот продолжит работать. Поэтому вирус не удалось остановить совсем — специалист лишь временно приостановил распространение той версии, что атаковала компьютеры 12 мая.

Масштабная кибератака началась 12 мая: первыми пострадали больницы в Англии, где из-за паралича компьютерных сетей пациентов стали отправлять не туда, куда нужно. Затем атака перекинулась ещё на десятки стран, в том пострадали телекоммуникационные гиганты Испании и Португалии.

Однако больше всего случаев заражения пришлось на Россию. Из крупных организаций вирус-вымогатель затронул МВД, «МегаФон» и Yota. В Сбербанке удалось отбить атаку.

#ВирусВымогатель