Специалисты заявили о приостановке вируса-вымогателя с помощью бессмысленного доменного имени Статьи редакции

Автор блога MalwareTech и специалист из Proofpoint Дэриен Хасс (Darien Huss) заявили о приостановке распространения вируса-вымогателя WannaCry, который 12 мая поразил компьютеры в более чем 70 странах, включая сети «Мегафона» и МВД. По их словам, это удалось сделать с помощью регистрации бессмысленного доменного имени.

Специалисты обнаружили, что в коде вируса есть фрагмент, который требует обращения к несуществующему домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. MalwareTech и Хасс зарегистрировали этот адрес, после чего обнаружили, что распространение вируса прекратилось.

#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sin…

I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.

Честно говоря, я не думал, что регистрация домена поможет остановить вирус. Кажется, это было случайно.

С какой целью в коде вируса был записан этот адрес, неизвестно. Автор MalwareTech предупреждает, что злоумышленники могут сменить адрес в коде и заражение возобновится, поэтому всем владельцам Windows-компьютеров стоит защитить свои устройства.

It's very important everyone understands that all they need to do is change some code and start again. Patch your s…

Важно понимать, что [злоумышленникам] нужно просто сменить часть кода, чтобы начать всё заново. Защитите системы сейчас!

Несмотря на сообщение о приостановке вируса, интерактивная карта MalwareTech указывает на то, что заражения продолжаются по всему миру.

Массовое заражение вирусом WannaCry началось 12 мая 2017 года. Из-за атаки пострадали ИТ-системы учреждений здравоохранения Великобритании, несколько крупных испанских компаний, а также сети «Мегафона» и МВД.

Вирус-вымогатель шифрует файлы на компьютере жертвы и требует выкуп в размере $300 в биткоинах. На кошельки, указанные в коде вируса, 12 мая было перечислено более $6 тысяч. По данным антивирусной компании Avast, WannaCry заразил 75 тысяч компьютеров в 99 странах.

Microsoft закрыла уязвимость, которую использует вирус, ещё в марте 2017 года. 12 мая компания выпустила отдельные патчи для систем Windows XP, 8 и Server 2003, которые уже не поддерживаются, а также предложила владельцам Vista и более новых систем при необходимости установить выпущенное в марте обновление MS17-010 самостоятельно.

0
18 комментариев
Написать комментарий...
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Dmitry Kaulkin

Смех неуловимого Джо.

Ответить
Развернуть ветку
Denis Kiselev

Зря. И на их улицу вполне может придти праздник!

Просто установочная база сильно меньше, и операционка вообще обновлённая-обновления бесплатные (даже мажорные). Но дырки есть везде.

Хотя да, меньше малвари под мак

Ответить
Развернуть ветку
AS

Владельцы мак очень сильно смеялись, когда узнали, что в один из популярнейших торрент-клиентов был внедрен шифровальщик. Кто-то заимел шелл на сервере этого клиента, и добавил сюрприз в клиент.

Мне повезло, я скачал этот клиент всего за сутки до компрометации сервера, но очко стало отрицательного диаметра в момент прочтения новости.

Ответить
Развернуть ветку
Denis Kiselev

Вы не путаете Transmisdion и Handbrake? Скомпрометированный сервер Handbrake был, а это конвертер медиа

Ответить
Развернуть ветку
Смарт Элло

Ну да, ламеры особенно)

Ответить
Развернуть ветку
Austin Greenwald

Да никто не смеется. Вы видимо не в курсе, на маки тоже вполне себе различные зловреды, крипторы в их числе.
Есть там например замечательный троян, который включает микрофон и слушает вас, или когда вы пользуетесь фейстаймом, подключается к нему и пишет вашу мордочку:blush:Замечательая вещь, правда?
И таких вещей там не мало. Не массово конечно, нет, но есть чего опасаться.

Ответить
Развернуть ветку
Maxim Ivanov
Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Maxim Ivanov

Все транзакции в открытом доступе. Будет интересно посмотреть, как они будут выводить бабло после такой шумихи.

Думаю, эти 6 тысяч нужно умножить минимум на тысячу. Помнится, криптолокер образца ноября 2014 стряс порядка $10илн с обычных клерков.

Ответить
Развернуть ветку
Данил Холин

В торе есть куча сайтов-прачечных, где за конский процент твои битки станут чистыми

Ответить
Развернуть ветку
Maxim Ivanov

Ни один миксер не гарантирует полную анонимность. Если очень сильно задаться целью, зная все кошельки, бигдатой можно вычислить потоки средств. Если злоумышленник конечно не будет выводить по одному биткоину в месяц.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Александр Перегонкин

Кто-то может объяснить, каким образом вирус попадает на компьютер?

Ответить
Развернуть ветку
Bucky Bucks

Они рассылают фишинговыае электронные письма с исполняемым файлом когда какой нибудь глупый сотрудник такое письмо открывает, скачивает файл и разрешает его запустить - заражается его компьютер и все не обновленные компьютеры в локальной сети

Ответить
Развернуть ветку
Alexander Chuprin

Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Камаз Узбеков

Но в локалку он сам не пролезет, кто-то первый должен открыть аттач

Ответить
Развернуть ветку
Данил Холин

С первой Африкой всех, ребят)

Ответить
Развернуть ветку
Антон Фомин

Проделки Apple с целью переманивания клиентов

Ответить
Развернуть ветку
15 комментариев
Раскрывать всегда