Регистрация на домейн случайно задействан ключ за убиване на Ransomware
Нова и агресивна форма на рансъмуер започна да заразява компютрите в края на миналата седмица . Националната здравна служба на Обединеното кралство (NHS) и испанската телекомуникационна компания Telefónica бяха сред най-известните жертви на зловредния софтуер WannaCry, известен също като WanaCrypt0r 2.0. Колкото и да беше лоша заразата, можеше да е много по-лошо, ако не беше писател и изследовател по сигурността препъвайки се на превключвателя си за убиване . Всичко, което трябваше да направи, за да кастрира WannaCry, беше да регистрира домейн.
Подобно на повечето рансъмуери, WannaCry е проектиран да шифрова важните файлове на потребителя, когато се закрепи върху нова система. Тази атака беше по-тежка от много други, тъй като използва експлойт на Windows, наречен Eternalblue, проектиран от NSA. Тази уязвимост беше заредена в интернет преди няколко седмици от неизвестни хакери. Microsoft призна тази грешка и пусна кръпка за по-стари версии на Windows.
Изследователите по сигурността започнаха да дисектират WannaCry веднага щом се появи, сред тях и човек, който минава от MalwareTech. MalwareTech забеляза необичаен URL адрес, който представляваше низ от произволни знаци, завършващи на „gwea.com“. MalwareTech видя, че този домейн е нерегистриран, затова го купи за около $ 10 с надеждата, че ще успее да събере повече данни за WannaCry. Той пренасочи целия трафик от този сайт към сървър, предназначен за улавяне на злонамерени данни, известен в разговор като дупка. Вместо това рансъмуерът започна да стои настрана, след като се свърза с сега действащия URL адрес.
Оказва се, че всеки екземпляр на WannaCry би достигнал до този URL, преди да започне да криптира файлове. Когато е в състояние да разреши горния уебсайт, той просто се изключва. Това ефективно спря нови екземпляри на зловредния софтуер, но не прави нищо за тези системи, които вече са компрометирани. Стотици пингове се наводниха веднага щом URL стартира.
Можем само да гадаем за мотивацията за включване на този превключвател за убиване в WannaCry, но най-вероятното обяснение е метод за възпрепятстване на съдебния анализ. Когато зловредният софтуер се изследва от изследователите, той често се изпълнява в изолирана среда, която се свързва с фиктивни IP адреси, когато достигне. Тъй като случайният URL адрес не трябва да съществува, отговор от този адрес може да означава, че WannaCry работи в пясъчник. По този начин тя се изключва, за да направи по-трудно да се анализира, а спирането на огнището е просто нежелана последица.
Това в никакъв случай не е краят за тази нова порода зловреден софтуер. WannaCry и друг злонамерен софтуер ще продължат да се възползват от неотдавнашните изтичания на NSA. Някой може дори да променя WannaCry, за да премахне ключа за убиване и да го изпрати отново в света. MalwareTech също съобщава, че много, които са платили откупа, дори не получават ключовете си за дешифриране. Изглежда, че системата е ръчна, което не се мащабира до невероятния брой заразени компютри.