Egy kiberbiztonsági szakember véletlenül jött rá arra, hogy hogyan állítható meg a világszerte fertőző WannaCry zsarolóvírus egyik variánsának terjedése. Sajnos ez még távol áll a teljes megoldástól.
A MalwareTech név mögött álló, 22 éves biztonsági cégnél dolgozik, nem csoda, hogy az elmúlt napban ő is a WannaCry zsarolóvírussal foglalatoskodott. A kártevő kódját vizsgálgatva talált benne egy meglehetősen bonyolult webcímet – a The Register szerint az iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com-ról van szó –, amit az ügy szempontjából nem gondolt fontosnak, de megtetszett neki a domain értelmetlensége, úgy gondolta, hogy 10,69 dollárt megér, hogy lefoglalja magának. (Ez aktuális középárfolyamon számolva 3028 forintot jelent.)
Ami ezután történt, azon Huss maga is meglepődött. Másodpercenként ezrével érkeztek a kérések a netről a webcímre – egy frissen regisztrált domainre, amit még nem is ismerhetett senki. Ez gyanússá vált a szakembernek, aki némi vizsgálódás után rájött: véletlenül megtalálta a zsarolóvírus egyik variánsának leállító gombját.
A The Guardian szerint kiderült, hogy a vírus kódjába azért építették bele a kibertámadást elindítók ezt a webcímet, mert a program a megfertőzött számítógép megbénítása után megpróbál csatlakozni ahhoz a weboldalhoz. És ha a lekérés eredményt hoz (tehát a domain létezik), akkor az adott víruspéldány nem terjeszti tovább magát. Darien Huss, a Proofpoint biztonsági szakembere szerint valószínű, hogy a támadás indítói szándékosan építették be ezt a titkos kapcsolót a zsarolóvírusba, hogy ha úgy akarják, bármikor meg tudják állítani a hadműveletet.
Fontos, hogy a már megfertőzött gépeken ez semmit nem segít, illetve valószínű, hogy a vírus más variánsainak más “kill switch” kapcsolója van. Ezt támasztja alá a WannaCry-variánsok terjedését mutató térkép is, melyen a számítógépes vírus áldozatinak száma a szombat reggeli 110 ezerről kora délutánra 141 ezer fölé emelkedett.
Saját számítógépe fertőzöttségének megelőzéséhez frissítenie kell a Windowst. Ha XP fut a gépén, itt találja a megoldást, ha újabb Windows, akkor pedig itt.
A helyzet súlyosságát mutatja, hogy az ügyben már a magyar kormány is riasztást adott ki, melyre kiberbiztonsági ügyekben nem túl gyakran van példa.
Követjük a fejleményeket. Ha tudni szeretne a legfrissebb infókról, lájkolja a HVG Tech rovatának Facebook-oldalát.