Theo Independent, một blogger người Anh có tên gọi MalwareTech, 22 tuổi, đã phát hiện ra cơ chế tự hủy của WannaCry. Theo mô tả, khi đăng ký tên miền, nó sẽ tự kích hoạt cái gọi là "kill switch". Sau khi xâm nhập vào máy tính, ransomware này sẽ cố gắng kiểm tra một địa chỉ web. Mã độc bắt đầu tiến hành mã hóa dữ liệu tống tiền khi tên miền không tồn tại, hoặc tự xóa bản thân nó nếu đã phát hiện tên miền hoạt động. Đây chính là cách tự xóa dấu vết nếu như hacker phát hiện có điều bất thường.
MalwareTech sau đó đã tiến hành đăng ký tên miền cho trang web dùng kích hoạt "kill switch", trỏ nó tới server an toàn hơn nhằm tránh tình trạng WannaCry ngày một lan rộng. Tuy nhiên, có vẻ như "một ai đó" đã cố gắng chiếm quyền kiểm soát website này.
"Một ai đó từ Trung Quốc đang cố gắng đánh cắp tên miền", MalwareTech viết trên Twitter.
Theo các chuyên gia bảo mật, cơ chế mà MalwareTech phát hiện có thể ngăn chặn được hàng nghìn cuộc tấn công. Tuy nhiên, họ cảnh báo rằng nó có thể bị viết lại, bị loại bỏ "kill switch" và điều đó "thực sự nguy hiểm".
Costin Raiu, Giám đốc nghiên cứu và phân tích toàn cầu của công ty an ninh mạng Kaspersky Lab, cho rằng, hacker có thể kiểm soát một website bằng cách giả vờ là chủ sở hữu, sau đó đổi thông tin tài khoản.
"Họ làm việc này có thể nhằm mục đích thống kê số nạn nhân, nhưng cũng có thể chiếm quyền điều khiển 'kill switch' đã kích hoạt. Nhưng nỗ lực này không thành công", Raiu nhận định.
Chuyên gia này cũng lo ngại rằng, sau khi "kill switch" được phát hiện, có thể những biến thể mới của WannaCry không có nút này được phát tán. Tuy vậy, khả năng này không cao, hành động của hacker Trung Quốc có thể nhằm chứng tỏ mình hiểu biết về ransomware này, tức muốn được nổi tiếng.
"Cách tốt nhất để theo dõi hacker dùng WannaCry và bắt họ chịu trách nhiệm các cuộc tấn công là theo dõi các khoản tiền chuộc bằng Bitcoin chảy về tài khoản của họ", Raiu nói thêm.
Máy tính bị nhiễm ransomware:
Bảo Lâm