Mladíka, ktorý zastavil šifrujúceho červa WannaCry, zatkla FBI

Značky: WannaCry / WannaCryptbezpečnosťFBIUSA

DSL.sk, 3.8.2017

Britského mladíka Marcusa Hutchinsa, ktorý v máji do značnej miery náhodou zabránil šíreniu nebezpečného masovo útočiaceho šifrujúceho červa WannaCry, v stredu zatkla FBI.

23-ročný Marcus Hutchins vystupujúci pod prezývkou MalwareTech bol v USA minulý týždeň na dvoch bezpečnostno-hackerských konferenciách Black Hat a Def Con, včera sa mal vrátiť do Británie. Na jeho zatknutie upozornil Motherboard.

Dôvod zatknutia nie je známy a nie je tak jasné, či súvisí s WannaCry.

Červ WannaCry zneužívajúci chybu vo Windows sa efektívne šíril 12. mája, pričom na infikovaných počítačoch šifroval súbory a požadoval výkupné vo výške 300 dolárov. Ďalšie informácie o červe sme priniesli v tejto sérii článkov.

Ako sme detailne informovali v tomto článku, šírenie červa bolo pomerne rýchlo zastavené Hutchinsom vďaka stále definitívne nevysvetlenému kill switchu prítomnému v červovi.

Screenshot okna s informáciami škodlivého kódu, kliknite pre zväčšenie (obrázok: Kaspersky Lab)

Hutchins identifikoval doménu iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, ktorú červ kontaktoval.

Keďže doména bola voľná, zaregistroval ju. Ako priznal, v čase registrácie nevedel aký účel plní.

I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.

— MalwareTech (@MalwareTechBlog) May 13, 2017

Analýza ale ukázala, že táto doména reálne funguje ako mechanizmus pre zastavenie šírenia červa. Červ sa po spustení na novom infikovanom systéme pokúsi doménu kontaktovať a ak existuje a webový server vráti platný dokument, skončí. Nezašifruje tak súbory na tomto počítači ani sa ďalej nepokúša infikovať ďalšie systémy.

Hoci krok mohol byť krátkodobo nezodpovedný, ak by ovplyvňoval správanie červa iným spôsobom, v najhoršom prípade po zistení asistencie domény na lepšom šírení by Hutchins mohol doménu zrušiť. V každom prípade krok efektívne šírenie červa zastavil a spravil tak skôr, ako keby sa čakalo na analýzu úlohy tejto domény.




Najnovšie články:



Diskusia:

drukos bmg Od: ivan lexa | Pridané: 3.8.2017 20:36 Za dobrotu na zebrotu Odpovedať Známka: 7.2 Hodnotiť:

Re: drukos bmg Od: sensei-san | Pridané: 4.8.2017 7:41 Žiaden dobrý skutok neostane nepotrestaný. Odpovedať Známka: 8.5 Hodnotiť:

Re: drukos bmg Od: Elphaba | Pridané: 4.8.2017 9:46 https://www.youtube.com/watch?v=_vXF60wtCQU Odpovedať Známka: 3.3 Hodnotiť:

Titulok: Od: Meno: | Pridané: 3.8.2017 20:37 Tak zatkli ho lebo im prekazil plan a obral ich o zisky. Odpovedať Známka: 7.8 Hodnotiť:

Re: Titulok: Od: syntaxterrorXXX | Pridané: 3.8.2017 20:45 Kvoli tomu by ho nezadrziavali v state s Area 51. Odpovedať Známka: 1.8 Hodnotiť:

pracovny pohovor Od: iJergus | Pridané: 3.8.2017 20:38 to nebolo zatknutie , ale ho zavolali na pracovny pohovor Odpovedať Známka: 6.8 Hodnotiť:

Re: pracovny pohovor Od: zxcvbn | Pridané: 4.8.2017 6:21 To maju dost nizke naroky. Odpovedať Známka: 0.0 Hodnotiť:

Re: pracovny pohovor Od: mattti | Pridané: 4.8.2017 9:54 Divil by ses, jak to stále zabírá Odpovedať Známka: 10.0 Hodnotiť:

Re: pracovny pohovor Od: otrokarstvo | Pridané: 4.8.2017 18:48 WORK AND TRAVEL since 1619 A teraz si musí odpracovať cestu. Odpovedať Známka: 10.0 Hodnotiť:

svsdgfsgf Od: dfsdf | Pridané: 3.8.2017 20:56 No alebo to nebola uplne tak nahoda, ze tu domenu zalozil. Sa pohadal s kamosmi, co to rozsirili a zastavil to :) Odpovedať Známka: 7.0 Hodnotiť:

Re: svsdgfsgf Od: kekeket | Pridané: 3.8.2017 21:46 mozno si kupil nafukovaciu ancu z eshopu a zaplatil s bitcoinami, len zabudol ze ta ista bitcoin adresa sa pouziva na prijmanie bitcoinov z toho malwaru. Co z neho logicky robi jeho autora :D Odpovedať Známka: -6.0 Hodnotiť:

Re: svsdgfsgf Od reg.: Sheep | Pridané: 3.8.2017 22:33 tak toto ti ozaj nevyslo Odpovedať Známka: 4.4 Hodnotiť:

Re: svsdgfsgf Od: Zlosyn | Pridané: 4.8.2017 8:57 veruže nevyšlo, tu máš mínus! Odpovedať Známka: 5.0 Hodnotiť:

Doména Od: MaN144 | Pridané: 3.8.2017 21:14 Tak asi len potrebujú zaregistrovať nejakú doménu a nevedia ako sa to robí. Odpovedať Známka: 7.4 Hodnotiť:

Sudruzi obzalovali Od: Filip R. | Pridané: 3.8.2017 21:59 To je nic, u nas chudak co nahlasil korupciu, ma na krku zalobu... Odpovedať Známka: 8.3 Hodnotiť:

Re: Sudruzi obzalovali Od reg.: cpt.obvious | Pridané: 4.8.2017 10:28 link pls Odpovedať Známka: 0.0 Hodnotiť:

Re: Sudruzi obzalovali Od reg.: Matias | Pridané: 4.8.2017 12:56 tiez by ma zaujimal Odpovedať Známka: 5.0 Hodnotiť:

..... Od: Guliver | Pridané: 3.8.2017 22:07 netreba sa ukazovať, nikdy. Odpovedať Známka: 7.3 Hodnotiť:

emericania Od: pol128 | Pridané: 3.8.2017 22:25 emericania su zdegenerovani patologicki dementi. veru tak... Odpovedať Známka: -0.6 Hodnotiť:

Re: emericania Od: 778966587 | Pridané: 3.8.2017 22:34 A svoj príspevok do diskusie si napísal na operačnom systéme, ktorý vytvorili zdegenerovaní patologickí dementi alebo na operačnom systéme, ktorý vytvorili nezdegenerovaní nepatologickí nedementi? Odpovedať Známka: -2.9 Hodnotiť:

Re: emericania Od: quix_ | Pridané: 3.8.2017 23:55 a este aj potomkovia imigrantov. huh teda vlastne europanov, ok tak nic.. Odpovedať Známka: 4.0 Hodnotiť:

Re: emericania Od: sar | Pridané: 4.8.2017 8:13 Potomkovia imigrantov z hladovych dolin zo Slovenska v USA ich zije skoro milion, ved skoro kazdy z nas ma nejaku tu rodinu za velkou mlakou Odpovedať Hodnotiť:

Re: emericania Od: quix_ | Pridané: 4.8.2017 9:47 kolko je teda "native amerikancov"? :) prezili stret civilizacie? kto vychadza z tohoto pomyselneho zapasu ako jasny vitaz? huhuu europania :) Odpovedať Hodnotiť:

Re: emericania Od: dyfhdfhdf | Pridané: 4.8.2017 6:59 čo si potom ty, planktón na najnižšom vývojovom stupni? Odpovedať Známka: -1.1 Hodnotiť:

Re: emericania Od: syntaxterrorXXX | Pridané: 4.8.2017 7:50 Ze si nejaky organizmus nepotrebuje vytvarat rebricek urovni, v ktorom mu prudko objektivne vychadza vrcholova pozicia moze byt pri urcovani vysky vyvojoveho stupna priekazne uroven urcujucim faktorom. Odpovedať Známka: 3.3 Hodnotiť:

Zatknutie Od: Sheriff | Pridané: 3.8.2017 23:40 Zatkli ho ucast na vytvoreni nejakeho trojana v rokoch 2014-2015. Uz to je zverejnene Odpovedať Známka: 7.1 Hodnotiť:

Re: Zatknutie Od: lafksdjal | Pridané: 3.8.2017 23:45 Mozno mu chcu dat ponuku ktora sa neodmieta;) Odpovedať Známka: 6.7 Hodnotiť:

Re: Zatknutie Od: Kandidat vied | Pridané: 4.8.2017 0:16 Vazenie alebo basa ? :D Odpovedať Známka: 6.4 Hodnotiť:

Domena Od: Neznamy23 | Pridané: 4.8.2017 4:51 Mohol si zmeniť na ten účel lokálnu DNS ktorá by stránku hodila na localhost a nemusel ju kupovať!? Odpovedať Známka: -2.0 Hodnotiť:

Re: Domena Od reg.: srgtewryew5yhwe45 | Pridané: 4.8.2017 5:20 tym by zastavil lokalneho cerva na navoinfikovanom systeme. a co tie ostatne cervy na pc, ku ktorym nema pristup? Odpovedať Známka: 10.0 Hodnotiť:

Re: Domena Od: kekeket | Pridané: 4.8.2017 10:55 No najprv to mohol otestovať takto lokálne keďže netušil čo sa stane. Kľudne sa mohlo stať niečo iné. Napríklad mohlo by to všetky súbory vymazať. To už by preňho FBI prišlo aj skôr. Odpovedať Hodnotiť:

Re: Domena Od: qweq | Pridané: 4.8.2017 5:25 OMG FBI je uz na ceste k tebe, utekaj.... Odpovedať Známka: 8.8 Hodnotiť:

Dobre tusia Od reg.: srgtewryew5yhwe45 | Pridané: 4.8.2017 5:24 Niektori tvorcovia virusov chcu robit iba zle, niektori chcu bitcoiny a niektori slavu. A FBI chce zistit, k akemu druhu patri "mladík". Odpovedať Známka: 10.0 Hodnotiť:

Najlepší bezpecaci sú bývali hackeri Od: USAfu... | Pridané: 4.8.2017 7:11 Pravdepodobne to môže mať dočinenia s jeho činmi a aliasmi v minulosti https://twitter.com/x0rz/status/893208687027859456 Odpovedať Hodnotiť:

predaval malware na markete alphabay Od: inf0 | Pridané: 4.8.2017 7:48 preto ho zatkli, kedze maju k dispozicii cca 10 000 realnych mien a adries uzivatelov marketov alphabay a hansa. Odpovedať Hodnotiť:

safasf Od: Robo11111 | Pridané: 4.8.2017 8:10 titulok ala novy cas. Odpovedať Hodnotiť:

buuuuuuuuu Od: ubububu | Pridané: 4.8.2017 8:37 "Dôvod zatknutia nie je známy a nie je tak jasné, či súvisí s WannaCry." ... cize na co mam citat dalej? Odpovedať Hodnotiť:

chalani vam musi jebat Od reg.: K-NinetyNine | Pridané: 4.8.2017 9:01 samozrejme, ze uz vsetci vedia, preco ho zatkli... len by ma zaujimalo, kde si lestite tie vestecke gule. nikoho z vas netrapi, ze ho mohli zatknut za drogy, alebo za vrazdu, alebo za lupezne prepadnutie, alebo nieco uplne ine. mozno velmi zavazne, mozno malo. mozno len za nezaplatenie pokuty za parkovanie. nie nie, samozrjeme, vsetci viete, ze to bolo za wannacry. lebo ako inak... Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár