Неизвестные попытались завладеть деактиватором вируса-вымогателя WannaCry

Блогер MalwareTech, которому удалось приостановить массированное заражение компьютеров вирусом-вымогателем WannaCry при помощи домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, сообщил в Twitter о попытке неизвестных установить контроль над доменом.

«Получил это письмо прошлой ночью. Похоже, кто-то из Китая попытался украсть домен», — написал программист.

Специалист по кибербезопасности «Лаборатории Касперского» Костин Райю (Costin Raiu) прокомментировал сообщение MalwareTech. В беседе с The Independent он предположил, что пытавшееся завладеть деактиватором лицо преследовало одну из двух целей: приостановить деятельность домена-деактиватора или просто узнать количество пострадавших от вируса пользователей.

«Однако операция сорвалась», — отметил Райю.

В то же время неизвестные вряд ли являются создателям вируса WannaCry, отметил специалист. Дело в том, что авторы WanaCrypt0r 2.0 легко могли бы создать его новую версию без уязвимости (kill switch), которая позволяет владельцу домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com остановить распространение программы.

Несколькими часами ранее Райю сообщил в Twitter, что возможность обезвреживания вируса через домен с бессмысленным названием присутствует во всех известных ему версиях WannaCry.

13 мая сообщалось, что распространение вируса-вымогателя удалось приостановить случайно. При этом программисты предупредили, что если хакеры изменят код, вредоносное ПО вновь начнет работать.

Вирус-вымогатель WanaCrypt0r 2.0 (он же WannaCry), который шифрует информацию и требует заплатить выкуп, начал активно распространяться 12 мая. Тогда сообщалось, что он заразил десятки тысяч компьютеров в 74 государствах мира. Эксперты назвали эту атаку самой массовой в истории. 14 мая директор Европола Роб Уэйнрайт заявил, что число жертв вируса может увеличиться утром 15 мая в связи с началом рабочей недели.