A programozó aktivált egy domainnevet, amit alig 2300 forintnyi dollárért vett. És ez elég volt.
A Twitteres @malwaretechblog-nál és a Proofpoint biztonsági cégnél dolgozó Darien Huss találta meg a biztonsági kapcsolót a rosszindulatú szoftverben.
Az átírt kód egy értelmetlenül hosszú domainnév volt, amelyhez kérés érkezik a vírustól – mintha egy weboldalt keresne – és amennyiben a kérésre válasz érkezik a célhelytől (tehát gyakorlatilag létezik az adott domainnév az interneten), a szoftver lekapcsol, megállítva ezzel a további kérések küldését.
„Láttam, hogy nincs regisztrálva, és gondoltam ez meg fogja oldani a problémát” – mondta a 22 éves brit férfi. Azóta másodpercenként 5-6 ezer oldalfelkeresés érkezik a címre.
„Megkapta a napi »Botcsinálta Hős-díjat«” – mondta a szintén Proofpointnál dolgozó Ryan Kalember. „Nem is tudhatják mennyire lassítja az akció a vírus terjedését.”
Európát és Ázsiát azonban már nem lehetett megmenteni a burjánzó szoftvertől, de az USA legalább kapott időt a védekezés megszervezésére.
Sajnos a biztonsági kapcsoló aktiválása nem segít azokon, akiknek megfertőződött a gépük. Ezen felül különböző formában is megjelenhetnek a PC-ken, melyekhez külön meg kell találni a kapcsolókat.
A vírus egyébként április 14-én indította útjára a Shadow Brokers csoport. Állításuk szerint „kiberfegyverek” adatait lopták el az amerikai nemzetvédelmi hivataltól (NSA).
A „ransomware”, magyarul zsarolóvírus egyébként a felhasználó adatait kódolja egy pillanat alatt, és csak fizetés ellenében engedi újra használni a gépet. Jelen támadás esetében egy „WanaCryptor 2.0 vagy WannaCry” nevű bug (hiba a kódban) okozta, mely a Windows rendszerre is veszélyt jelent. A Microsoft már márciusban kiadott egy patch-t (javítást) hozzá, azonban akik ezt nem telepítették, a gépük védtelen maradt.
300 dollárnyi Bitcoint (kriptopénz) követel a WannaCry, amely figyelmeztet arra is, hogy az idő múlásával növekszik az összeg. 28 nyelven, e-mailben terjed a vírus.
„Teljességgel kiszámítható volt ez az egész. A Shadow Brokers megtudta, hogy rengeteg gép használ még mindig Windows XP-t az egészségügyi hivatalban, és ezekre a Windows már nem ad ki javításokat.
– mutatott rá a védekezés fontosságára Kalember. ”
A Kaspersky Lab biztonságtechnológiai kutatói 45 ezer támadást regisztráltak 74 országban, többek között az Egyesült Királyságban, Oroszországban, Ukrajnában, Indiában, Kínában, Olaszországban, és Egyiptomban. Spanyolországban nagy telekommunikációs vállalatok, mint például a Telefónica érintettek.
A ransomware spreading in the lab at the university
Eddigi információk alapján péntek délutánra a zsarolóvírus már elérte az Egyesült Államokat és Dél-Amerikát is.
Magyarországot is elérte a világméretű kibertámadás. A Telenornál pénteken kikapcsoltatták a dolgozók számítógépeit.
Forrás: The Guardian
