Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Как сообщалось ранее, программисту из Великобритании, известному в Twitter как MalvareTechBlog, удалось на время приостановить распространение нашумевшего вымогательского ПО WannaCry (другие названия WannaCrypt, WCry, Wana Decrypt0r и WanaCrypt0r). Исследователь обнаружил вшитый в код вредоноса адрес домена, позволяющего отключать его в случае необходимости. Тем не менее, ИБ-эксперты обнаружили вторую версию WannaCry с другим доменом, на которую метод MalvareTechBlog не подействовал.

Вредонос состоит из двух компонентов – SMB-червя и непосредственно вымогателя. Червь распространяет вымогательскую программу сначала по локальной сети, а затем через интернет. Первая версия WannaCry содержала адрес домена, позволившего отключить функцию шифрования файлов на инфицированных компьютерах. Однако SMB-червь по-прежнему продолжал распространять инфекцию.

Вскоре после обезвреживания первой версии вредоноса киберпреступники выпустили вторую. Французский исследователь Матье Суиш последовал примеру британского коллеги, зарегистрировал указанный в коде вредоноса домен ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com, и WannaCry стал обращаться к тому же серверу британского исследователя, что и первая версия. Это значит, что даже в случае заражения компьютера данным вариантом вредоноса, процесс шифрования запускаться не будет.

Как бы то ни было, эксперты фиксируют появление новых вымогателей, копирующих WannaCry. К примеру, по данным Лоуренса Абрамса из Bleeping Computer, на сегодняшний день существуют по крайней мере четыре семейства вымогательского ПО, имитирующих интерфейс нашумевшего вымогателя.

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйте новый аккаунт в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...