外媒:病毒WannaCry“命门”已找到,传播已减缓
WannaCry
作者: 赵正锡
2017-05-13 21:28
[ 久闻导读 ] 据外媒报道,“意外英雄”已经阻止了WannaCry勒索软件的全球传播,解决软件传播方式是花费十几美金注册了隐藏在软件中的网站域名。

勒索软件对联邦快递、西班牙电信公司以及英国国家卫生服务机构(NHS)等组织造成严重破坏,包括但不限于业务被取消,x射线,检测结果和患者记录以及电话都不能使用。

外媒:病毒WannaCry“命门”已找到,传播已减缓

然后,英国网络安全研究员 @malwaretechblog在推特表示,在网络安全公司Proofpoint职员 Darien Huss的帮助下,发现和并激活了恶意软件中的“关闭开关”。

这个开关被病毒制作者硬编码到恶意软件中,以备随时关闭停止传播。整个传播过程涉及到一个十分荒谬的域名,恶意软件发出的要求就像它是在寻找任何网站,如果请求回来,并显示该域名是已注册的,关闭开关将生效,恶意软件停止传播。

外媒:病毒WannaCry“命门”已找到,传播已减缓

malwaretechblog:“我看到它(域名)并没注册,我那时就在想‘我一定会把它注册的’”。据报道,当时花费了10.69美金,注册后不久就有每秒上千的连接。

外媒:病毒WannaCry“命门”已找到,传播已减缓

Proofpoint的Ryan Kalember表示:“我们获得了当天的意外英雄奖。我们没有意识到这可以会减缓勒索软件的传播。”

malwaretechblog表示注册域名的时间太晚,无法帮助许多受到影响的欧洲和亚洲组织。Kalember说,但是它给了美国人更多的时间,以便在被感染之前修补他们的系统来增强攻击的免疫力。

关闭开关不会帮助那些计算机已经被勒索软件感染的人,并且可能会有变异的病毒产生继续在传播。

恶意软件在4月14日通过一个名为影子经纪人(Shadow Brokers)的组织的转储在线提供,该组织去年宣称从美国国家安全局(NSA)窃取了一大堆“网络武器”。

勒索软件是一种加密用户数据的恶意软件,然后需要用户缴纳“赎金”才能解锁数据。这种攻击是由一个名为“WanaCryptor 2.0”或WannaCry的漏洞引起的。该漏洞利用了Windows中的一个漏洞。Microsoft于3月份发布了一个修补程序,但尚未安装安全更新的计算机仍然很容易受到攻击。

勒索软件需要用户支付300美元的比特币才可以恢复他们的文件,并且警告一段时间后付款金额将会上涨。这段“赎金”消息被同步翻译成28中语言。

来自网络安全公司Proofpoint的Ryan Kalember表示:“这在很多方面都是可预测的。影子经纪人(Shadow Brokers)和所有人(在安全行业)都知道到,很多人无法安装补丁,特别是如果他们使用像Windows XP这样的操作系统(许多NHS计算机仍然使用),没有补丁。然后他们通过这种漏洞再去传播病毒”。

卡巴斯基实验室的安全研究人员目前已经记录来自74个国家(包括英国,俄罗斯,乌克兰,印度,中国,意大利和埃及)45,000次以上的袭击。在西班牙,包括电讯公司Telefonica在内的主要公司被感染。

根据安全研究人员Malware Hunter Team的统计,星期五晚上,勒索软件已经扩展到美国和南美洲,但是欧洲和俄罗斯受到的破坏比较严重。俄罗斯内务部表示,约有1000台电脑受到影响。

相关文章

  • 验证码: 看不清?点击更换 看不清? 点击更换
  • 意见反馈
    意见反馈
    返回顶部