Специалист по информационной безопасности, который ведет Twitter-аккаунт @MalwareTechBlog, сообщил, что распространение вируса-вымогателя WannaCrypt (Wanna Decryptor) удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Он заметил в коде вируса обращение к этому домену и решил его зарегистрировать.
#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
— Darien Huss (@darienhuss) 12 мая 2017 г.
Затем стало понятно, что если обращение к этому домену успешно, то заражение следует прекратить; если нет (в случае отсутствия такого зарегистрированного домена), то продолжать атаки. Однако при регистрации имени эксперт не знал, что это приведет к замедлению распространения вируса.
При этом регистрация домена, упоминающегося в коде, не является универсальным средством от действий блокировщика. Чтобы возобновить заражения, хакерам достаточно изменить строчки кода с упоминанием домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) 13 мая 2017 г.
Вчера масштабной кибератаке вирусом-блокировщиком WannaCry подверглись более 70 стран, среди которых — Россия, США, Великобритания, Китай, Италия. Вирус, попадая на компьютер, зашифровывает все файлы на нем и требует оплату разблокировки. В России от действий хакеров пострадали компания «МегаФон» и компьютерные системы МВД, также о хакерских атаках сообщили МЧС, Минздрав и Сбербанк.
Подробнее о кибератаке читайте в материале «Ъ» «Более 70 стран подверглись хакерской атаке».