Вірус-здирник зупинили випадково - допоміг домен з безглуздою назвою

Фахівець з безпеки, який веде твіттер @MalwareTechBlog, виявив, що вірус звертається до цього домену і вирішив зареєструвати його, щоб стежити за активністю програми, пише Медуза.

Як з'ясувалося згодом, в коді вірусу було прописано, що якщо звернення до цього домену успішне, то зараження слід припинити; якщо ні, то продовжувати. Одразу після реєстрації домену надійшли десятки тисяч запитів.

#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2

— Darien Huss (@darienhuss) 12 травня 2017 р.

Як написав @MalwareTechBlog, коли він реєстрував домен, він не знав, що це призведе до уповільнення поширення вірусу.

Втім, щоб знову почати зараження, зловмисникам достатньо змінити кілька рядків коду, де згадується домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Вірус-здирник почав поширюватися 12 травня. Він блокує комп'ютер і вимагає 300 доларів за розблокування. Десятки тисяч випадків зареєстрували в 99 країнах. Зокрема постраждали телекомунікаційні компанії, банки, консалтингові фірми. У Великобританії з ладу вийшли комп'ютери системи охорони здоров'я.

Реєстрація "рятівного" домену не допомогла тим, хто вже був заражений, але дала час іншим встановити оновлення Windows, після якого вірус не працює.