Лучшие предложения

Рaнee мы писaли, чтo прoгрaммисту из Вeликoбритaнии, извeстнoму в Twitter кaк @MalvareTechBlog, удaлoсь нa врeмя приостановить распространение нашумевшего вымогательского ПО WannaCry (другие названия WannaCrypt, WCry, Wana Decrypt0r и WanaCrypt0r). Энтузиаст обнаружил вшитый в код вируса адрес домена, позволяющего отключать его в случае необходимости. Тем не менее, ИБ-эксперты обнаружили вторую версию WannaCry с другим доменом, на которую метод MalvareTechBlog не подействовал.

Вирус состоит из двух компонентов – SMB-червя и вымогателя. Червь распространяет вымогательскую программу сначала по локальной сети, а затем через интернет. Первая версия WannaCry содержала адрес домена, позволившего отключить функцию шифрования файлов на инфицированных компьютерах. Однако SMB-червь по-прежнему продолжал распространять инфекцию.

Вскоре после обезвреживания первой версии вируса хакеры выпустили вторую. Французский исследователь Матье Суиш (Matthieu Suiche) последовал примеру британского коллеги, зарегистрировал указанный в коде вредоноса домен ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com, и WannaCry стал обращаться к тому же серверу британского исследователя, что и первая версия. Это значит, что даже в случае заражения компьютера данным вариантом вредоноса, процесс шифрования запускаться не будет.

Как бы то ни было, эксперты фиксируют появление новых вымогателей, копирующих WannaCry. К примеру, по данным Лоуренса Абрамса (Lawrence Abrams) из Bleeping Computer, сегодня существуют по крайней мере четыре семейства вымогательского ПО, имитирующих интерфейс нашумевшего WannaCry.

Both comments and pings are currently closed.

Comments are closed.