Een 22-jarige onderzoeker van het blog MalwareTech heeft een killswitch gevonden om de wereldwijde aanval met de WannaCry-ransomware te stoppen. In de code van de ransomware vond de onderzoeker een killswitch die alle functionaliteit van de ransomware stopt.
Zodra de ransomware op een machine actief is probeert het verbinding met een .com-domein te maken. Als de verbinding succesvol is stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. De aanvallers hadden de domeinnaam echter niet geregistreerd, wat de onderzoeker vervolgens wel deed. Zodoende maken alle besmette machines verbinding met zijn server, waarna de ransomware stopt met werken. Iets wat de onderzoeker niet van tevoren wist, zo laat hij op Twitter weten.
Tegenover de website The Daily Beast verklaart de onderzoeker dat hij na het opzetten van zijn server 5.000 tot 6.000 verbindingen per seconde van besmette machines zag. Hij gebruikt de data om de infecties in realtime te meten. Inmiddels zijn er 108.000 besmette machines waargenomen. De besmette ip-adressen gaat de onderzoeker met de FBI en Shadowserver Foundation delen. Deze organisaties kunnen vervolgens providers en getroffen instellingen waarschuwen.
De onderzoeker waarschuwt beheerders dat de huidige ransomware-versie nu niet goed meer werkt, maar dat de aanvallers ongetwijfeld een nieuwe versie zullen uitbrengen. Het advies is dan ook om de update van Microsoft, die verdere verspreiding op netwerken voorkomt en sinds 14 maart van dit jaar beschikbaar is, te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.