«Нечаянный герой» остановил атаку криптера-вымогателя и предупредил: это не конец.


,Wana Decrypt0r 2.0,песочница,вирус


«Нечаянный герой» остановивший глобальное распространение атаки беспрецедентного криптера-вымогателя с помощью регистрации запутанного доменного имени спрятанного в вредоносной программе предупредил: атака может быть запущена снова.

Криптер-вымогатель использованный в пятничной атаке посеял хаос в организациях включающий в себя FedEX и Telefónica, а также Национальной службе здравоохранения Великобритании, в которой были отменены операции, ренген, результаты тестов и записи пациентов стали недоступными и телефоны не работали.

Но распространение атаки подошло к неожиданному концу, когда один британский исследователь кибер-безопасности представленный в твиттере как @malwaretechblog, с помощью Дэриена Хасса из охранной фирмы Proofpoint, нашел и случайно активировал триггер отключения в вредоносном ПО.

Исследователь, представившийся только как MalwareTech — двадцатидвухлетний из юго-западной Англии, проживающий с родителями и работающий на Kryptos logic, находящейся в Лос Анджелесе компании по разведке кибер-угроз.

«Я отошел пообедать с другом, вернулся около трех часов дня и заметил наплыв новостей о Национальной службе здравоохранения Великобритании и различных пострадавших британских организациях» сказал он The Guardian «Я начал разбираться в этом и тогда я нашел пример вредоносного ПО стоящего за этим и увидел что оно соединяется с определенным доменом, который был не зарегистрирован. Я занял его, не зная что я сделал.»

Киллсвитч глубоко закодирован в вредоносное ПО на случай, если создатель захочет остановить его распространение.  Это включало в себя очень длинное бессмысленное доменное имя к которому вредоносное ПО делало реквест, так, словно искало обычный веб-сайт, и если реквест возвращался и показывал что домен в онлайне, то киллсвитч включался бы и вредоносное ПО прекращало распространение. Домен стоил $10.69 и моментально начал регистрировать тысячи соединение каждую секунду. 

MalwareTech объяснил покупки домена тем, что его копания следит за ботнетами и с помощью регистрации этих доменов они могут узнать как распространяется ботнет. «Намерение было просто проследить распространение и увидеть сможем ли мы сделать что-нибудь об этом позже. Но мы случайно остановили распространение просто зарегистрировав домен», сказал он. Но последующие часы были «американскими горками эмоций».

«Сначала, кто-то сообщил все наоборот, что мы вызвали заражение регистрацией домена, так что у меня случился мини испуг, пока я не осознал что все было наоборот и мы остановили его», говорит он.

MalwareTech сказал что он предпочитает оставаться анонимным «потому что в этом нет смысла давать мою персональную информацию, очевидно мы работаем против плохих парней и они не будут рады из-за нас».

Он так же сказал что он планирует удержать URL и он с коллегами будет собирать IP и отправлять их в правоохранительные органы, чтобы они могли предупредить зараженных жертв, не все они знают что пострадали.

Он предупредил людей пропатчить их систему, добавив: «Это еще не конец. Атаковавшие поймут как мы остановили это, они поменяют код и затем начнут снова. Включите обновление Windows, обновите и затем перезагрузите компьютер.»

Райан Калембер из Proofpoint сказал что британский исследователь получает «награду нечаянного героя дня». «Они даже не представляли как сильно это должно было замедлить распространение вредоносного ПО.»

Ко времени когда @malwaretechblog зарегистрировал домен было слишком поздно чтобы помочь Европе и Азии, где много организаций пострадали. Но это дало людям в США больше времени чтобы создать иммунитет к атаке пропатчив их системы прежде чем они были инфицированы, сказал Калембер.

Киллсвитч не поможет тем, чьи компьютеры уже заражены криптером и, вероятно, есть другие варианты вредоносного ПО с иными киллсвитчами продолжает распространяться. 

Исследователи кибер-безопасности с Лабораторией Касперского зафиксировали более 45,000 атак в 74 странах, включающих Великобританию, Россию, Украину, Индию, Китай, Италию и Египет. В Испании крупные компании, включая телекоммуникационную фирму Telefónica, были заражены.

На вечер пятницы, криптер-попрошайка распространился в Соединенные Штаты и Южную Америку, тем не менее Европа и Россия остаются сильнейшими пострадавшими, по словам исследователей Malware Hunter Team. Министерство внутренних дел России говорит о примерно 1,000 пострадавших компьютерах.


Перевел сам, выкинул пару бесполезных параграфов. Источник:

P.S. Сам домен киллсвитч — https://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com