Специалист по безопасности, известный в Twitter как MalwareTechBlog, обнаружил, что вирус-шифровальщик WanaCrypt0r 2.0 (он же WCry) обращается к незарегистрированному домену со странным именем iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Эксперт решил зарегистрировать сайт с таким именем, чтобы проследить за активностью зловредного ПО, однако он никак не предполагал, что такой шаг приостановит распространение вируса.
Как позже удалось выяснить, WanaCrypt0r 2.0 запрашивает доступ к сайту iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и в случае успешного обращения прекращает заражение. По всей видимости, создатели вируса оставили для себя возможность при необходимости быстро остановить его распространение.
WanaCrypt0r 2.0 начал распространяться 12 мая и заразил несколько десятков тысяч компьютеров во многих странах. Известно, что в России вирус вывел из строя компьютеры «Мегафона», МВД и следственного комитета. За возвращение доступа к данным на компьютере вирус требует 300 долларов в Bitcoin.
При этом WanaCrypt0r 2.0 затронул только PC на базе Windows, давно не получавшие обновлений: Microsoft выпустила апдейт, закрывающий используемую вирусом уязвимость, еще в марте. Сейчас вышло обновление даже для Windows XP, которую Microsoft не обновляет уже три года.