Лучшие предложения
Рaнee автор этих строк писaли, чтo прoгрaммисту из Вeликoбритaнии, извeстнoму в Twitter как @MalvareTechBlog, посчастливилось на время приостановить распространение нашумевшего вымогательского ПО WannaCry (другие названия WannaCrypt, WCry, Wana Decrypt0r и WanaCrypt0r). (страстный) поклонник обнаружил вшитый в код вируса адрес домена, позволяющего отключать его в случае необходимости. Тем безлюдный (=малолюдный) менее, ИБ-эксперты обнаружили вторую версию WannaCry с другим доменом, в которую метод MalvareTechBlog не подействовал.
Вирус состоит из двух компонентов – SMB-червя и вымогателя. Проволочник распространяет вымогательскую программу сначала по локальной сети, а затем через интернет. Первая версия WannaCry содержала адрес домена, позволившего отключить функцию шифрования файлов в инфицированных компьютерах. Однако SMB-червь по-прежнему продолжал распространять инфекцию.
Вскоре после обезвреживания первой версии вируса хакеры выпустили вторую. Галльский исследователь Матье Суиш (Matthieu Suiche) последовал примеру британского коллеги, зарегистрировал отмеченный в коде вредоноса домен ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com, и WannaCry стал обращаться к тому а серверу британского исследователя, что и первая версия. Это значит, что аж в случае заражения компьютера данным вариантом вредоноса, процесс шифрования запускаться далеко не будет.
Как бы то ни было, эксперты фиксируют появление новых вымогателей, копирующих WannaCry. К примеру, сообразно данным Лоуренса Абрамса (Lawrence Abrams) из Bleeping Computer, сегодня существуют точно по крайней мере четыре семейства вымогательского ПО, имитирующих интерфейс нашумевшего WannaCry.