یک سال و نیم از زمان انتشار اولیه باجافزارWannaCry میگذرد و بیش از نیم میلیون کامپیوتر همچنان آلوده هستند. هرچند این باجافزار در ایالاتمتحده و بریتانیا تقریباً ریشهکن شده است، اما در سایر نقاط جهان همچنان یک مشکل اساسی بشمار میرود و دادههای اخیر نشان میدهند که صدها هزار رایانه همچنان با نرمافزارهای مخرب آلودهشدهاند.
یک محقق امنیتی به نام Marcus Hutchins در شرکت Kryptos Logic، نحوه عملکرد این بدافزار را شناسایی کرده و آن را غیرفعال کرده است. این شرکت ابزاری به نام TellTale دارد که آلودگیهای WannaCry را شناسایی میکند. مدیران میتوانند آن را بهمنظور جستجو و نظارت بر طیف وسیعی از آدرسهای IP مورداستفاده قرار دهند. همچنین TellTale میتواند انواع دیگر بدافزار را نیز شناسایی کند.
در تحلیل باجافزار، این محقق به قسمتی از کد دستیافته است که به یک دامنه عجیب (به آدرس http[:]//iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com) اشاره میکرد. این دامنه ثبتنشده بود، و سازندگان باجافزار از آن برای یک کلید خاموش/روشن استفاده میکنند. WannaCry بهصورت دورهای این آدرس را پینگ میکند. تا زمانی که دامنه در حال اجرا است، نرمافزار فایلها را رمزنگاری نمیکند، اما اگر در حال اجرا نباشد، بدافزارها وارد عمل میشوند و شروع به ایجاد اختلال میکنند.
هماکنون این دامنه فعال است و درنتیجه این باجافزار فعالیت نمیکند. این گروه امنیتی با رصد دامنه مشاهده کردند که این آدرس بیش از ۱۷ میلیون بار پینگ دریافت کرد که از بیش از ۶۳۰۰۰۰ آدرس آیپی منحصربهفرد در ۱۹۴ کشور مختلف بوده است.
چین، اندونزی و ویتنام، سه کشور برتر از طریق آلودگی هستند و تقریباً نیمی از ترافیک دامنه از این مناطق است. این آمار در شکل زیر آمده است.
علاوه بر این مشخص شد که این دامنه در روزهای غیر تعطیل هفته فعالتر از روزهای آخر هفته است؛ که نشان میدهد رایانههای سازمانی بیشتر آلوده هستند.
مطالب مرتبط:
افزایش فعالیت باج افزار SamSam در سال ۲۰۱۸ باهدف قرار دادن سازمانها
هشدار: باجافزار Rapid به سرعت در حال انتشار است!
باجافزار جدید در چین، آلودگی بیش از صدهزار رایانه شخصی
منبع: TECHSPOT
