Вторая волна заражения вымогателем WannaCry остановлена

Вторая волна заражения вымогателем WannaCry остановлена

Ранее мы писали, что программисту из Великобритании, известному в Twitter как @MalvareTechBlog, удалось на время приостановить распространение нашумевшего вымогательского ПО WannaCry (другие названия WannaCrypt, WCry, Wana Decrypt0r и WanaCrypt0r). Энтузиаст обнаружил вшитый в код вируса адрес домена, позволяющего отключать его в случае необходимости. Тем не менее, ИБ-эксперты обнаружили вторую версию WannaCry с другим доменом, на которую метод MalvareTechBlog не подействовал.

Вирус состоит из двух компонентов – SMB-червя и вымогателя. Червь распространяет вымогательскую программу сначала по локальной сети, а затем через интернет. Первая версия WannaCry содержала адрес домена, позволившего отключить функцию шифрования файлов на инфицированных компьютерах. Однако SMB-червь по-прежнему продолжал распространять инфекцию.

Вскоре после обезвреживания первой версии вируса хакеры выпустили вторую. Французский исследователь Матье Суиш (Matthieu Suiche) последовал примеру британского коллеги, зарегистрировал указанный в коде вредоноса домен ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com, и WannaCry стал обращаться к тому же серверу британского исследователя, что и первая версия. Это значит, что даже в случае заражения компьютера данным вариантом вредоноса, процесс шифрования запускаться не будет.

Как бы то ни было, эксперты фиксируют появление новых вымогателей, копирующих WannaCry. К примеру, по данным Лоуренса Абрамса (Lawrence Abrams) из Bleeping Computer, сегодня существуют по крайней мере четыре семейства вымогательского ПО, имитирующих интерфейс нашумевшего WannaCry.

Источник

Следующая новость
Предыдущая новость

Вниманию посетителей! Мы временно отключили возможность комментирования новостей в связи с частыми призывами к противоправным действиям и насилию со стороны некоторых посетителей. Надеемся на Ваше понимание. С уважением, редакция "Моя Империя".

Последние новости