Ransomware WannaCry mohol byť zastavený zaregistrovaním jedinej domény Daniel 15. mája 2017 Novinky Za 24 hodín dokázal ransomware WannaCry zablokovať 75000 počítačov v 99 krajinách sveta. Napriek závažnosti a veľkosti útoku vyzerá riešenie problému docela jednoducho. Stačí ak niekto zaregistruje konkrétnu webovú doménu. Ransomware je typ malwaru, ktorý zablokuje počítač a za odblokovanie väčšinou požaduje zaplatiť. Jeho popularita priamo stúpala s popularitou BitCoinu, keďže platby decentralizovanou menou sú skoro nevystopovateľné a transakcie sa nedokážu priamo priradiť k určitej osobe. Ransomware WannaCry sa nevyhol ani kritickým systémom. Infikované boli počítače v nemocniciach po celom Spojenom Kráľovstve, alebo systémy distribúcie vody a plynu v Španielsku. Bezpečnostní odborníci však našli takzvaný killswitch v kóde ransomwaru WannaCry. Počas inštalácie sa totiž pýta pomocou HTTP požiadavky na existenciu konkrétnej, dosť obskurnej webovej domény. Doména mala podobu iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com a jedná sa pravdepodobne o náhodnú hodnotu, alebo nejaký hash. Pokiaľ doménu nájde, preruší sa inštalácia. Toto je závažná informácia, keďže to dokáže zastaviť šírenie škodlivého kódu aj na systémoch bez zabezpečenia. Odborníci špekulujú či tam túto funkciu implementoval autor kvôli kontrole nad šírením vírusu, alebo to malo len čisto praktický dôvod. Odborník vystupujúci pod menom MalwareTech, ktorý slabinu vírusu odhalil vysvetlil pravdepodobný hlavný dôvod tejto funkcie. Tá mala totiž zabrániť antivírovým spoločnostiam odhaliť tento škodlivý kód. Antivírové spoločnosti totiž testujú podozrivé súbory v izolovanom sandboxovom prostredí. Kvôli limitáciam takéhoto prostredia tak systém vracia dotaz na doménu ako pozitívny. Preto sa v laboratórnych podmienkach tento kód nespustí a WannaCry tak stihol infikovať veľké množstvo systémov než bol odhalený. Avšak odhalenie tejto chyby nemusí znamenať koniec tohoto vírusu, keďže boli nájdené ďalšie varianty tohoto kódu s rôznymi doménami. Najväčšiu obavu vytvára hlavne agresívne šírenie tohoto vírusu. Ten sa totiž hneď po inštalácii snaží šíriť v lokálnej sieti, a to pomocou komunikácie SMB na porte 445. Využíva tak slabinu v systéme Windows. Aj keď registrácia domény na chvíľku zablokuje šírenie vírusu, jediná efektívna obrana je aktualizácia systému a antivírovej databázy. Komentuj!