00:31 14 мая 2017
Распространение вируса-вымогателя $300 приостановила регистрация бессмысленного доменного имени
Речь идет о нашумевшей программе WannaCrypt
В пятницу, 12 мая, в Интернете стал распространяться вирус WannaCrypt. Он поражает системы под управлением Windows. Блокирует компьютер и шифрует находящиеся на нем файлы. Для получения кода разблокировки требует перевода 300 долларов на счет в биткоинах.
Сообщается, что жертвами вируса стали десятки тысяч компьютеров по всему миру. В России, по данным СМИ, могли пострадать компьютеры «МегаФона», МВД и Следственного комитета. Хотя последние эту информацию и опровергли.
В любом случае, пострадали как частные лица, так и банки, консалтинговые организации и айти-компании. В Великобритании WannaCrypt вывел из строя компьютеры местной системы здравоохранения.
Эксперты считают, что речь не идет о целенаправленных атаках. Скорее всего, пострадали те, кто просто вовремя не обновил Windows. Таким образом, под угрозой те, у кого компьютеры обновляются не автоматически, а вручную администратором.
И вот выяснилось, что распространения вируса удалось приостановить. Как? С помощью регистрации весьма бессмысленного домена iuqerfsodp9ifjaposdf jhgosurijfaewrwergwea.com.
Автор твиттера @MalwareTechBlog увидел, что вирус делает обращения к этому домену. Поэтому решил его зарегистрироваться. Оказалось, что после регистрации на этот домен поступили десятки тысяч запросов.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) 13 мая 2017 г.
По данным экспертов, в коде вируса было прописано, что распространение его после обращения на этот странный адрес нужно прекратить. Плохая новость состоит в том, что для нового заражения злоумышленникам потребуется изменения нескольких строчек кода с упоминанием этого кода.
Отметим, после регистрации домена ничего не изменилось в лучшую сторону для тех, кто уже был заражен. Однако фору получили те, кого вирус еще не настиг. За это время можно установить обновление Windows, с которым вирус уже не работает. Посмотрите карту распространения вируса.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает. Уязвимость Microsoft уже закрыл.