Hutchins teljesen véletlenül jött rá arra a módszerre, amivel ugyan megállítani nem tudta, de jelentősen lelassította a zsarolóvírusos támadási hullámot. Felfedezett egy beépített kapcsolót (kill switch), melyet a készítő azért hoz létre, hogy ha szükséges, megállítsa a kártevő terjedését.
A kód tartalmazott egy domént, melyhez a kártevő megpróbál csatlakozni – csak úgy, mint amikor meg akarunk nyitni egy honlapot – ha sikerül, akkor leállítja magát, és nem terjed tovább, ha azonban nem sikerül a kapcsolódás, akkor megfertőzi az adott gépet.
Finding the kill switch to stop the spread of ransomware https://t.co/ehBLayurqZ pic.twitter.com/ZwE83HREiX
— NCSC UK (@ncsc) May 13, 2017
A brit szakértő leellenőrizte az elképesztő hosszúságú, fura címet, s beregisztrálta 10,69 dollárért, azaz körülbelül háromezer forintért. Mint akkor írta, fogalma sem volt, hogy milyen címet is regisztrált. “Csak azt láttuk, hogy bárki, akit a zsarolóvírus megfertőzött, az ehhez a címhez próbál csatlakozni.”
Készülnek az ellentámadásra
Kérdés, hogy ez a megoldás meddig tart ki. Hutchins elmondása szerint és próbálják megbénítani elosztásos túlterheléses támadásokkal (DDoS), amihez a Mirai botnethálózatot vetik be.
A próbálkozások célja, hogy az oldal összeomoljon, és a hackerek ezáltal kiiktathassák a beépített kapcsolót. A fiatal szakember viszont erre is gondolt, már megtette a szükséges intézkedéseket: a látogató botok jelenleg a weboldal cache-elt verzióját érik el, így sokkal több forgalmat képes kezelni a szerver.
— MalwareTech (@MalwareTechBlog) May 22, 2017
Ugyan az elmúlt héten főleg az elavult Windows XP veszélyeire próbálták többen is felhívni a figyelmet, a szakértők elemzése szerint leginkább a Windows 7-es gépeket érintette a támadás. A Kaspersky kiberbiztonsági cég szerint a Windows 7-es gépek tették ki az összes WannaCry által fertőzött eszköz 98 százalékát. Igaz, ez annak fényében nem meglepő, hogy 7-es Windows a legelterjedtebb verzió jelenleg, az asztali gépek 46,23 százalékán fut.
#WannaCry infection distribution by the Windows version. Worst hit – Windows 7 x64. The Windows XP count is insignificant. pic.twitter.com/5GhORWPQij
— Costin Raiu (@craiu) May 19, 2017
