חוקר אבטחה צעיר באנגליה הצליח לעצור אתמול (שבת) "בטעות" את מתקפת הסייבר שהתפשטה במחשבים בעולם כמו אש בשדה קוצים. הצעיר, שלא מעוניין להזדהות בשמו ורק בשם המשתמש שלו בטוויטר @malwaretechblog, הפעיל "מנגנון חיסול עצמי" של הנוזקה, שכנראה שמו שם מתכנני המתקפה, פשוט על ידי רישום של שם מתחם (דומיין) שמצא בתוך הנוזקה שעה שחקר אותה.

מתקפת הסייבר, שהחלה להתפשט בעולם שלשום (שישי) פגעה במחשבי ה-NHS (שירות הבריאות הבריטי) והשביתה את מחשביהם של כמה בתי חולים בבריטניה, כללה החדרה של נוזקה מסוג כופר שמצפינה את קבצי המחשב, מוחקת את הגיבויים ודורשת מהקורבנות לשלם כ-300 דולר במטבע הווירטואלי ביטקוין. עד כה ידוע על כ-101 מדינות אליהן התפשטה הנוזקה. מספר דיווחים טוענים כי הנוזקה התפשטה בתוך רשתות מחשב, בין מחשבים עם מערכת ההפעלה חלונות, דרך פריצת אבטחה שנחשפה לפני מספר שבועות על ידי קבוצת האקרים בשם ShadowBrokers. אותה הקבוצה שחררה מספר כלי פריצה, אשר לפי טענתם, נגנבו מסוכנות ה-NSA האמריקאית. הכלים חשפו פרצה שלא הייתה ידועה קודם לכן ותוקנה בחלק מגרסאות מערכת ההפעלה בעדכון בחודש מרץ האחרון. מחשבים שלא עודכנו או שעליהם מערכת הפעלה ישנה יותר נשארו פגיעים לחור האבטחה בחלק התוכנה שמאפשר שיתוף קבצים ברשת בשם SMB.

שמה של נוזקת הכופר הוא "Wanna Cry" ומחשבים שנדבקו בה יראו הודעה על שולחן העבודה כי עליהם לשלם את הסכום תוך זמן מסוים אחרת הסכום יעלה. סימן נוסף הוא שכל הקבצים במחשב יקבלו את הסיומת ".wcry". גם בישראל דווחו על מספר מחשבים שנפגעו בהתקפה עם זאת, עברית לא נכללת בין השפות בהן ניתן לצפות בהודעה (כ-15 שפות שונות).

החוקר הצעיר, בן 22 בלבד שעדיין גר עם הוריו בדרום אנגליה, עובד בחברת אבטחה הממוקמת בלוס אנג'לס. בראיון לגארדיאן הבריטי הוא סיפר כי ישב לארוחת צהריים עם חבר ששמע על המתקפה. "חקרתי קצת ומצאתי דוגמה של הנוזקה שמאחורי המתקפה וראיתי שהיא מתחברת לדומיין שלא היה רשום עדיין. אז רשמתי את זה בלי לדעת מה זה עושה עדיין."

ככל הנראה מדובר ב"מנגנון הרג עצמי" שהוטמע בתוך הנוזקה למקרה בו היוצר שלה ירצה להפסיק את ההתפשטות. מדובר בדומיין ארוך ולא הגיוני שהנוזקה מנסה להתחבר אליו ובמקרה שהיא מצליחה והאתר חי, הנוזקה מפסיקה להתפשט ולחפש לעצמה מחשבים להדביק. כאשר רשם הצעיר את הדומיין בכ-10 דולר והעלה אותו לאוויר, האתר מיד החל לקבל אלפי פניות ממחשבים בכל שנייה.

החוקר הסביר כי רשם את הדומיין כדי לעקוב אחר ההתפשטות ולקבל מידע נוסף שישמש את החברה בעתיד אך בפועל הוא עצר את המתקפה. השעות לאחר מכן לדבריו היו רכבת הרים רגשית.

"בהתחלה מישהו דיווח בטעות שאנחנו גרמו להתפשטות הנוזקה במעשה שלנו, אז הייתי בחרדה עד שהבנתי שבעצם אנחנו עצרנו אותה." כעת הוא וחבריו מחזיקים בדומיין ומעבירים את כתובות ה-IP שמנסות להתחבר לרשויות החוק כדי שיודיעו לחברות, שאולי לא מודעות לכך, שהן הודבקו בנוזקה.

החוקר הדגיש כי אנשים עדיין צריכים לעדכן את מערכת ההפעלה שלהם כי "זה עוד לא נגמר. התוקפים יבינו איך עצרנו את זה, הם עלולים לשנות את הקוד ולהתחיל שוב. תפעילו את עדכוני הווינדוס, תעדכנו ותאתחלו את המחשב" אמר לגארדיאן.

דוגמה לפעולת הנוזקה:

החוקר הצעיר החל לעבוד בחברת האבטחה האמריקאית מיד אחרי לימודיו בתיכון והחליט לדלג על לימודי האוניברסיטה. אבטחת מידע הייתה תחביב שלו עוד בגיל צעיר ולאחר שכתב מספר תוכנות ובלוג טכני הציעה לו החברה עבודה אצלם. על החיים בבית של הוריו הוא אומר כי זה "מאד סטריאוטיפי".

לסיכום אמר כי "זה לא הולך להיות שינוי באורח החיים שלי, זה רק סוג של חמש דקות של תהילה. זה דיי משוגע, לא הצלחתי לבדוק את חשבון הטוויטר שלי כל היום, זה מתעדכן מהר מידי כדי לקרוא".

בינתיים אם כן נעצרה התפשטותה של הנוזקה, אך בעבור חברות ואנשים רבים באסיה ובאירופה שהספיקו להידבק בנוזקה וקיבציהם הוצפנו על ידי התוקפים זה כבר מאוחר מדי. לשאר ניתנה השהייה והזדמנות לעדכן את מחשביהם ובכך להימנע מהדבקות. למחשבים שכבר נדבקו, זה כבר לא יעזור ועלולות לצוץ גרסאות נוספות של הנזק, לכן מומלץ לדאוג לעדכן את מערכת ההפעלה. מיקרוסופט שיחררה עדכון גם למערכות הפעלה שלא עודכנו קודם ובאופן עקרוני כבר לא נתמכות על ידי החברה.