Per què comença a perdre força l'atac?

Un investigador anònim ens ha salvat. Només coneixem el seu blog i compte de Twitter. Segons ha explicat, es va posar a analitzar el codi del cuc-ransomware i va veure que hi figurava un nom de domini: "www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com". És habitual, sobretot en els virus que es fan servir per crear botnets, que un codi maliciós porti noms de domini. Així que l'investigador va seguir el procediment habitual: va comprar el domini, que li va costar 10,69€ i el va posar en funcionament, a veure què passava.

De cop, el domini va enregistrar més de 5.000 connexions per segon. Qui s'hi connectava eren mostres del "ransomware" des de tots els racons del món. El truc era, segons l'investigador, que "tot aquest codi (els virus) s'estava intentant connectar al domini que havíem enregistrat. Si no podien connectar-se, continuarien atacant el sistema, però si la connexió era exitosa, el malware parava".

Gràcies a aquest descobriment molts virus van deixar d'atac, just quan la plaga acabava d'arribar als Estats Units, que no han estat tan afectats com  Europa.

Llavors era un virus benigne?

No, perquè ha deixat al seu pas milers i milers d'ordinadors amb totes les dades xifrades i sense possibilitat de desxifrar-les si no és pagant, un mètode que tampoc és totalment segur.

El fet que el virus portés el què s'anomena un "botó del pànic" és habitual en les "proves de concepte". Aquestes proves són experiments, virus de laboratori als quals es posa un límit, alguna cosa per parar-los en cas que s'escapessin, fet que no seria la primera vegada. Força investigadors s'han mostrat convençuts que aquesta seria l'explicació de l'origen del cuc-ransomware.

Diu Josep Albors, d'ESET, en la seva anàlisi de què ha passat: "Molts ens temem que aquest cas sigui una prova llançada abans de temps i que, un cop comprovada la seva eficàcia, molts altres poden imitar aquest atac, amb alguna altra cosa que no cridi tant l'atenció com pot ser un "ransomware", però que permeti infectar sistemes durant més temps, sense aixecar sospites".

Altres investigadors neguen rotundament la teoria de l'experiment i diuen que no és més que una mala còpia d'un codi maligne que va ser robat a la National Security Agency nordamericana. A més, no hi hauria lloc a error: "WannaCrypt" ja hauria estat llençat a Internet una vegada, el 27 de març, però va tenir un nul impacte. Aquesta és la segona vegada que s'intentava l'atac, amb el ransomware convertit en cuc, fet que n'ha estat la clau de l'èxit.

Ha acabat el ciberatac?

A no ser que hi hagi una tercera onada, aquesta segona podria donar-se ja per liquidada. Una forma pràctica de saber-ho és cercar a Google cadenes com aquesta: "index of" "WNCRY" que donen el nombre de servidors que encara estan infectats al món.

Quin botí s'han emportat els atacants? 

El cuc-ransomware demanava un rescat d'aproximadament 300€ a canvi de la clau que desxifra els arxius de cada ordinador atacat. Hi ha hagut un gran ball de xifres respecte a qui hauria pagat (¿ha pagat Telefónica? Aquí diuen que sí) i el total que s'haurien emportat els delinqüents. Algun periodista ha dit que han fet un calaix d'uns 23.000 dòlars, però ningú ho sap del cert. La finestra que es desplega en un ordinador infectat donava una adreça Bitcoin per pagar el rescat, però aquestes adreces finalment no s'haurien utilitzat i qui volia pagar hauria negociat directament amb els atacants, de forma que és impossible rastrejar els pagaments.