Двадцатидвухлетний блогер, известный в интернете как MalwareTech, сделал свое открытие в пятницу вечером, когда анализировал код вредоносной программы.

Он заметил, что программное обеспечение пытается связаться с необычным веб-адресом — iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com — но этот адрес не был связан с вебсайтом, потому что ни за кем не числился.

Всякий раз, когда вредоносная программа пыталась установить связь с загадочным вебсайтом, возникала ошибка и вирус начинал действовать, нанося ущерб.

В качестве эксперимента MalwareTech решил потратить 10 долларов 69 центов и зарегистрировал на себя указанный вебадрес. На правах владельца веб-адреса он обрел доступ к аналитическим данным и получил представление о масштабах сетевого вымогательства.

Но это открытие оказалось не единственным — вскоре он обнаружил, что после регистрации веб-адреса распространение вредоносной программы прекратилось.

"Отчасти это была случайность", — рассказал MalwareTech в интервью Би-би-си после продолжавшегося всю ночь расследования, за время которого он, по его словам, "глаз не сомкнул.

Что случилось?

Сначала эксперт предположил, что создатель вредоносной программы дал ей команду на самоуничтожение — это один из способов остановить распространение вируса, если что-то вдруг пошло не так. В данном случае нештатной ситуацией могла стать регистрация таинственного веб-адреса.

Но теперь MalwareTech считает, что вредоносная программа не самоуничтожилась, а "испугалась" так называемой виртуальной машины — защищенной платформы, используемой в том числе для обнаружения вирусов и считывания их программного кода.

Реальный компьютер не может получить доступ к бессмысленному адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, — в отличие от виртуальной машины, которая способна имитировать подключение к нему как к подлинному вебсайту.

В последнее время создатели вредоносных программ встраивают в них специальный код проверки — не является ли машина, в которую они попали, виртуальной. Если да, то вирус не активируется, чтобы не быть уничтоженным.

"Вредоносная программа немедленно прекращает работу, чтобы предотвратить дальнейший анализ, — пишет MalwareTech в своем блоге. — Из-за моей регистрации все эти вирусы решили, что попали в виртуальную машину, и вышли из системы. […] Таким образом, мы непреднамеренно предотвратили распространение программы-вымогателя".

Исследователя, который замедлил распространение вредоносной программы, назвали "случайным героем".

"По-моему, это правильное определение", — сказал он в разговоре с Би-би-си.

Конец ли это вымогательству?

Хотя регистрация веб-адреса, по-видимому, остановила распространение одного штамма вируса, это не значит, что с источником вымогательства покончено.

Все файлы, которые были зашифрованы с помощью WannaCry, по-прежнему остаются "в заложниках".

Эксперты также предупреждают о возможном появлении новых, более совершенных модификаций WannaCry.

"Этот вариант вируса вряд ли будет распространяться дальше, однако почти наверняка появятся его копии", — считает исследователь по кибербезопасности Трой Хант.

"Мы остановили этот вирус, но придет еще один, и так просто мы его уже не остановим", — пишет MalwareTech.

"Тут крутятся большие деньги, им [хакерам] нет причин останавливаться. Не так уж много усилий надо, чтобы изменить код и начать все заново", — добавляет "случайный герой".

Поделиться
Комментарии