休假的英国资安专家,意外暂缓了 WanaCrypt0r 2.0 勒索软件的全球攻击

作者 | 发布日期 2017 年 05 月 14 日 15:49 | 分类 网络 , 资讯安全
wannacry_06-624x495 (1)

近日爆发的 WanaCrypt0r 2.0 勒索软件可说是席卷全球,只要是 Windows 10 以下的操作系统且没有更新 3 月 14 日发布的修补软件,电脑档案都有可能受到攻击,如受波及电脑中所有档案将被加密,直到付出赎金取得密码方能解码,不过这波攻击却意外被英国一位资安专家以 8.29 英镑给挡了下来。




不小心阻止了一场全球路攻击

网络代号为“MalwareTech”的年轻资安专家在网络表示,当时他有一星期假期,因此决定用这段时间来研究一下这个病毒,结果意外发现软件的“中止开关”(killswith)。

他借由从英国健保署肆虐软件样本准备进行研究,发现 WanaCrypt0r 2.0 会一直尝试存取某个像是随机在键盘打出来的一长串网址名称。当时他无法理解这串网址的意义,由于这个网址名称并未注册启用,好奇心与职业习惯下,他花了 8. 29 英镑把网域注册下来,一注册后他发现该网域出现成千上万的连线量,而且来自全世界各地。

051501


▲ 勒索软件的样本部分程序码。(Source:MalwareTech

一开始他不清楚流量来自何方,随着对病毒码的进一步分析,各安全研究机构也开始注意到这个网址,而各方的勒索攻击也停了下来,他们才发现这似乎是紧急中止开关。

网址有无效成为中止关键

原来这个勒索软件启动后会先连到下面这一长串网址:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,连线失败后才会执行档案加密,否则就放弃档案加密,并结束软件退出。也就是说,这一长串看似无意义的网址一旦注册生效,在各个感染勒索软件的主机上将能停止扩散。不过有资安专家表示,先前受感染的电脑档案仍有被加密勒索的风险,因为这软件是属于“潜伏”型的,会先行进后才“发作”,不过至少暂缓了进一步扩大的可能。

有网络安全专家透露,这可能是勒索病毒的作者留的一着“后路”, 希望在软件传播失控或需要抑止时的开关,透过注册这个网址来中止勒索软件的传播,以免连自己都难以收场。

▲ 现在网址已被注册了,连线后会出现这个画面。

虽然 WanaCrypt0r 2.0 勒索软件的散布因为网址已注册而暂时中止,但资安人员也建议这病毒仍随时有可能改写出现新变种,因此所有 Windows 使用者还是要安装微软的修补程序,以免电脑再度感染。

如需获取更多资讯,请关注微信公众账号:Technews科技新报

cooper

在科技媒体产业打滚十数年,经历纸媒到网络,月刊到日报,并曾短暂跨足电子商务与电子书等领域,涉猎颇杂,但衷爱的仍是科技新闻。
未经许可,任何媒体、网站或个人不得复制、转载、或以其他方式使用本网站的内容,违者必究。

直接使用新浪微博发表评论

 

发表评论