برخلاف تصور برخی باج افزار واناکرای از بین نرفته و در 194 کشور جهان به فاز کمین وارد شده است.
یک و نیم سال پس از ظهور ویرانگر واناکرای هنوز هم تهدیدات آن برای صدها هزار کامپیوتر از بین نرفته و بر اساس داده های جدید هر لحظه امکان فعال شدن آن در سیستم های آلوده وجود دارد.
این بدافزار که صدها هزار سیستم را آلوده کرده و از این راه ثروت سرشاری را نصیب توسعه دهندگانش کرد به لطف یک کلید غیرفعال شده که توسط کارشناسان موسسه «کیپاتس لاجیک» پیاده شده بود. این کلید در واقع دامنه ای اینترنتی است که پس از ثبت شدن آن بدافزار وارد فاز خاموشی شده است.
با این حال واناکرای به صورت مرتب به این آدرس پینگ می کند و تا زمانی که دامنه مذکور فعال باشد بدافزار فایل ها را رمزنگاری نمی کند اما اگر سایت از دسترس خارج شود، فعالیت واناکرای از سر گرفته می شود.
کمپانی مذکور هاست دامنه را برعهده سیستم جهانی رایانش ابری Cloudflare قرار داده که بین بازدید کننده و سایت مثل یک پراکسی معکوس عمل کرده و در عین افزایش سرعت بارگذاری احتمال حملات DDoS را کاهش می دهد. Cloudflare امکان دسترسی کیپاتس لاجیک به معیارهای مختلفی از این دامنه را فراهم کرده که اخیرا برخی از آنها در توییتر منتشر شده اند.
بر این اساس در طول هفته گذشته دامنه مورد بحث بیش از 17 میلیون پینگ از 630 هزار IP منحصر به فرد دریافت کرده که در 194 کشور مختلف قرار داشته اند. بیشترین ورودی ها از چین، اندونزی و ویتنام ثبت شده و حدود نصف دیگری از این ترافیک به مناطق دیگر مربوط می شود.
فعالیت این دامنه در روزهای کاری نسبت به آخر هفته بیشتر می شود و بنابرین هدف هکرها بیشتر کمپانی ها و سازمان بوده اند تا کاربران عادی. دلیل این مساله هم به احتمال بیشتر پرداخت باج از سوی شرکت ها برمیگردد .
کیپاتکس لاجیک برای مقابله با واناکرای ابزاری به نام TellTale را توسعه داده که قابلیت شناسایی بدافزارهای بسیاری را دارد.