Доменное имя остановило атаку вируса WannaCry
Регистрация домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com смогла остановить глобальную атаку вируса WannaCry.
Вирус-вымогатель WannaCry, поразивший десятки тысяч компьютеров по всему миру, помогла остановить неожиданная находка анонимного программиста, который выяснил, что вирус обращается к домену с длинным названием iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Когда он выяснил, что вирус обращается по такому адресу, то решил зарегистрировать домен, чтобы проследить его активность. Как выяснилось, адрес был зашит в коде вируса на тот случай, если его потребуется остановить: программа прекращала атаки, получая ответ.
Об этом пишет Stuki-Druki.com со ссылкой на The Guardian.
"Теперь могу добавить в свое резюме: "Случайно остановил международную кибератаку", - сообщил программист в Twitter.
Он подчеркнул, что действия вируса это заблокировало лишь временно: хакерам стоит лишь изменить этот адрес в коде, и кибератака на незащищенные компьютеры продолжится.
Поэтому аноним приветствовал позицию Microsoft, которая выпустила специальное обновление для неподдерживаемых операционных систем, например Windows XP, которое устраняет уязвимость, используемую WannaCry.
Портал Штуки-Дрюки напоминает, что вечером 12 мая со всего мира начали поступать сообщения о массовом заражении компьютеров программой-шифровальщиком. За снятие блокировки злоумышленники требовали выкуп в биткоинах - эквивалент от 300 до 600 долларов.
Наибольшее число кибератак наблюдалось в России, где целью преступников стали компьютеры МВД, "Сбербанка", Минздрава, "Мегафона". В субботу о попытке заражения сообщили в РЖД, а также в Центробанке - там подчеркнули, что массовые запросы к компьютерам российских кредитных учреждений были безуспешными.
В Великобритании из-за массового заражения персональных компьютеров была нарушена работа 40 больничных учреждений.
Хакеры-вымогатели, блокировавшие десятки тысяч компьютеров в компаниях и учреждениях по всему миру, использовали модифицированную программу американского Агентства национальной безопасности (АНБ).
Об этом сообщает Stuki-Druki.com со ссылкой на Politico.
По данным издания, для атаки хакеры использовали модифицированное программное обеспечение Агентства национальной безопасности, которое в апреле в результате утечки попало в интернет. Группа обнародовавших его хакеров называла себя Shadow Brokers. Кто теперь использует вредоносный код - неясно.
Об использовании кода АНБ также пишет в своем Twitter Эдвард Сноуден - бывший сотрудник ведомства, нашедший убежище в России после обнародования данных о системах электронной слежки агентства.
Речь идет о вирусе WCry, также известном как WannaCry и WannaCryptor. Его смысл заключается в краже архивов, он шифрует файлы на компьютере и требует от жертвы выкуп в биткоинах за возможность восстановить данные. В одних случаях для разблокировки требовалось перевести сумму, равную 300 долларам, в других - 600 долларам. Вирус использует уязвимость в операционной системе Windows, "заплатку" для которой создатель ОС Microsoft выпустила в марте. Заражены оказались компьютеры, на которые не установили патч.
По данным Kaspersky Lab, больше всего заражений в России, на Украине, в Индии и на Тайване.
По данным "Коммерсанта", в МВД заражению подверглись около 1000 компьютеров. Атака была столь мощной, что определенное время не работали даже официальные сайты подразделений МВД, например по Москве, Калужской, Липецкой и Пензенской областях. Проблемы были и в работе центрального сайта ведомства. После того как работа восстановилась, на сайтах появилась бегущая строка: "Уважаемые посетители, приносим свои извинения за возможные неудобства при работе с сайтом, ведутся технические работы". СМИ сообщали о заражении компьютеров и в Следственном комитете, но там это опровергли. Онлайн-ресурсы СКР работали без перебоев.
Британские СМИ связали деятельность Shadow Brokers с Россией.
Еще одну версию происходящего излагает британская The Telegraph, которая рассуждает о наличии "российского следа" в кибератаке.
Издание напоминает, что на следующий день после нанесения ракетных ударов США по сирийскому аэродрому группировка опубликовала "предупреждение" Трампу, осудив это решение. А еще спустя неделю, 14 апреля, Shadow Brokers совершила хакерскую атаку, использовав код АНБ. Эта же программа, как предполагается, была использована и в последних атаках.
По данным издания, "некоторые эксперты" предполагают, что такая последовательность событий не случайна, и связывают деятельность группировки с Россией. Помимо этого, в публикации не приводится ничего, что бы подтверждало подобные "связи".
