Общее число вариаций зловреда, циркулирующих в сети в понедельник 15 мая, до сих пор неизвестно. Однако за выходные дни (13-14 мая) появилось две заметных модификации. "Лаборатория Касперского" полагает, что ни один из этих вариантов не был создан авторами оригинального вымогателя: скорее всего, за ними стоят другие игроки киберпреступного мира, которые решили воспользоваться ситуацией в своих интересах.
Первый из двух упомянутых образцов зловреда начал распространяться рано утром в воскресенье, приблизительно в 4 часа по московскому времени. Он подключался к другому домену. На данный момент "Лаборатория Касперского" обнаружила три жертвы этого варианта вымогателя – в России и Бразилии.
Второй вариант, появившийся на днях, по всей видимости, умеет обходить так называемый киллсвитч (killswitch) – ту особенность в коде программы, которая помогла остановить первую волну атак. 13 мая удалось приостановить распространение вируса, после того как обнаружилось, что тот обращается к несуществующему сайту iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и зарегистрировал этот домен на себя. Вскоре хакеры выпустили обновленную версию вируса, которая вновь начала атаковать компьютеры. WannaCry попадает на ПК через уязвимость в Windows. Компания Microsoft закрыла ее, причем обновления были выпущены даже для тех версий Windows, поддержка которых была завершена.
Количество попыток атак WannaCry, задетектированных "Лабораторией Касперского" в понедельник 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы, 12 мая. Это позволяет предположить, что контроль над процессом заражения почти установлен.
По данным The Guardian, разработчики вируса WannaCry заработали более $42 тыс., и деньги все еще продолжают поступать к ним. Требования вымогателей выполнили более ста человек. Всего к этому моменту было осуществлено около 110 переводов на сумму в 23,5 биткоина. За тремя счетами, на которые хакеры требовали отправить деньги, установлено наблюдение.
По всей видимости, именно по этой причине злоумышленники пока не пытались снять полученные средства, отмечает издание. Сейчас под наблюдением полицейской службы Евросоюза находятся три биткоин-счета, с которых до сих пор не сняты деньги.
По словам некоторых экспертов по безопасности, WannaCry использует для взлома компьютеров инструменты, разработанные Агентством национальной безопасности США. Они были украдены у спецслужб и выложены в открытый доступ.