Britų tyrėjas kiber-saugumo srityje papasakojo BBC apžvalgininkui, kaip jis, pasak jo paties, „iš dalies atsitiktinai“ pristabdė programos-šantažistės plitimą, kuri gegužės 12 dieną užblokavo šimtus tūkstančių kompiuterių visame pasaulyje.
Dvidešimt dvejų metų amžiaus tinklaraštininkas, žinoma internete kaip MalwareTech, padarė savo atradimą penktadienį vakare, kai analizavo kenksmingosios programos kodą.
Jis pastebėjo, jog programinė įranga bando susisiekti su neįprastu tinklapio adresu – iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com – tačiau šis adresas nebuvo susijęs su jokiu tinklapiu, nes nebuvo registruotas ir neturėjo savininko.
Kiekvieną kartą, kai kenkėjiška programa bandė susisiekti su mįslingu tinklapiu, įvykdavo klaida ir virusas imdavo veikti atlikdamas kenkėjiškus veiksmus.
Kas tai per virusas?
Programa šantažuotoja WannaCry ( ji taip pat WCry ir WannaCryptor) šifruoja rinkmenas naudotojo kompiuteryje, ko pasekoje jų daugiau nebegalima naudoti. Už iššifravimą programa reikalauja apmokėjimo bitkoinais, ekvivalentišką 300, o kitais duomenimis 600 dolerių.
Gegužės 12 ši kenkėjiška programa užblokavo dešimtis tūkstančių kompiuterių visame pasaulyje, tame tarpe valstybinėse įstaigose ir stambiose kompanijose. Labiausiai nukentėjo Rusiją.
Eksperimento dėlei MalwareTech nutarė paišlaidauti ir už 10, 69 dolerio užregistravo savo vardu nurodytą tinklapio adresą.
Turėdamas šio adreso savininko teises jis gavo prieigą prie analitinių duomenų ir galimybę pamatyti tinklinio šantažavimo paveikslo mastą.
Tačiau šis atradimas netapo vieninteliu – greitai jis aptiko, jog po tinklapio adreso registracijos kenkėjiškos programos plėtra sustojo.
„Iš dalies tai buvo atsitiktinumas“, – papasakojo MalwareTech savo interviu BBC po visą naktį trukusio tyrimo, kurio metu, pasak jo paties, jis nė akių nesumerkė.
Kas atsitiko?
Pradžioje ekspertas padarė prielaidą, jog kenkėjiškos programos kūrėjas davė jai komandą susinaikinimui – tai vienas iš būdų sustabdyti viruso plitimą, jei kažkas staiga ėmė vykti ne taip, kaip suplanuota. Minimu atveju nenumatyta situacija galėjo tapti mįslingo tinklapio adreso registracija.
Tačiau dabar MalwareTech mano, jog virusas ne susinaikino, o „išsigando“ taip vadinamo virtualaus įrenginio – apsaugotos platformos, naudojamos tame tarpe ir virusų aptikimui bei jų programinio kodo nuskaitymui.
Realus kompiuteris negali gauti prieigos prie bereikšmio internetinio adreso iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, – skirtingai nuo virtualaus įrenginio, kuris gali imituoti prisijungimą prie jo, kaip prie realaus tinklapio.
Pastaruoju metu kenkėjiškų programų kūrėjai įtaiso jose specialų patikrinimo kodą – ar nėra įrenginys į kurį pateko virusas, virtualus. Jeigu taip, tai virusas neaktyvuojamas, kad nebūtų sunaikintas.
„Kenkėjiška programa nedelsiant nutraukia veiklą, kad išvengtų tolesnės analizės, – rašo MalwareTech savo tinklaraštyje. – Dėl mano įvykdytos adreso registracijos visi virusai padarė išvadą, jog pateko į virtualią įrangą ir išėjo iš sistemos. […] Tokiu būdu, mes neplanuotai sustabdėme programos-šantažistės plėtrą“.
Tyrėjas, kuris sulėtino kenkėjiškos programos plitimą, buvo pavadintas „atsitiktiniu herojumi“.
„Mano nuomone tai teisingas apibūdinimas“, – pasakė jis pokalbye su BBC.
Ar tai pinigų prievartavimo pabaiga?
Nors tinklapio adreso registracija, matomai, sustabdė vieno viruso štamo plitimą, tai nereiškia, jog su šantažavimo šaltiniu pabaigta visam laikui.
Visos rinkmenos, kurios buvo užšifruotos WannaCry pagalba, kaip ir anksčiau išlieka „įkaitais“.
Ekspertai įspėja apie galimą atsiradimą naujų, pažangesnių WannaCry viruso modifikacijų. .
„Dabartinis viruso variantas vargu ar plis toliau, tačiau beveik tikra, jog atsiras jo kopijų“, – daro prielaidą kiber-saugumo tyrėjas Trojus Hantas.
„Mes sustabdėme šį virusažą, tačiau ateis dar vienas ir taip paprastai mes jo jau nesustabdysime“, – teigia MalwareTech.
„Čia sukasi dideli pinigai ir jiems [hakeriams] nėra jokių priežasčių sustoti. Ne taip jau daug reikia pastangų, kad būtų pakeistas kodas ir viskas pradėta nuo pradžių“, – papildo „atsitiktinis herojus“.
Gerbiami skaitytojai, jei manote, kad medžiaga, pateikta „infa.lt” buvo jums nors truputį naudinga, jūs galite prisidėti paremdami svetainę Jums patogiu būdu
→ PAREMKITE mus savo 1,2 proc. GPM, kas jums nieko papildomai nekainuos. Ačiū labai. → Naujienlaiškis
275
Leidžiama ...
Straipsnyje nieko nesakoma apie apsisaugojima nuo sio viruso. Kompiuteryje turi buti visi Windows updates, o failus galima apsaugoti sukuriant backupus. Visa informacija radau cia: