8.29英镑拯救了世界,WannaCrypt勒索病毒中场休息

头条新闻     2017-05-14     检举

好戏剧化的发展,震惊全球的 WannaCrypt 勒索病毒(严格来说是蠕虫),在一位英国资安研究员注册某个网域名称后,中止了第一波攻击。(让我想起电影世界大战里莫名烙赛停摆的外星人)

相信大家应该都从各大媒体看到报导了,WannaCrypt 勒索病毒参考先前美国国安局流出的攻击程式,利用 Windows 的一个资安漏洞(微软于今年 3 月已释出安全更新),能主动攻击感染同一局域网路中的未做 Windows Update 的 Windows Vista/7/8.1/2008R2 主机,将该主机的所有文件档加密上锁,要求美金 300 元的赎金。先在英国健保署、西班牙电信公司传出严重灾情,而俄罗斯、乌克兰与台湾也受害严重,依据防毒公司 avast 的统计,全球共有 104 国家受害,超过 12 万 6 千台机器被感染。而微软为原本已停止支援多时的 Windows 2003/XP 破例紧急出了安全更新,可见事态之严重。 

但 WannaCrypt 的这波猛烈攻击在英国一位资安研究员注册了某个网域后意外停止了。

经营 MalwareTech 部落格的一位英国 22 岁年轻资安研究员分享他意外拯救世界的经过:

在 WannaCrypt 灾情传出后,MalwareTech 取得在英国健保署肆虐的 WannaCrypt 勒索软件样本准备进行研究,丢进隔离环境执行时,发现 WannaCrypt 会一直尝试存取某个未注册的网域名称。

MalwareTech 在研究恶意程式时习惯会注册拿下这类网域名称,目的在于搜集感染数据及研究破解之道,于是这回先花 8.29 英镑注册再说。

有趣的是,注册网域名称生效后,他接到其他研究员询问,表示样本似乎出了问题,已无法重现感染行为。

之后经过反组译勒索软件以及模拟未注册网域情况,验证了“勒索软件只要检测到该网域存在就会停止执行”,而网域名称写死在程式里(有些恶意软件会使用算法动态改变使用的网域名称,或同时检查多个网域名称才决定),换言之,这个网域名称是当初设计用来停止活动的开关(概念是在研究室的沙箱环境中,连不该存在的网域也会有回应,此时恶意软件会停止活动避免行迹败露),除非勒索软件改版,这波所散布的 WannaCrypt 勒索病毒,都将因为 MalwareTech 注册网域而中止活动,这波的攻击应该已告平息。

不过,可以预见勒索病毒作者一定会很快改版,试图卷土重来,大家快利用这个天下掉下来的机会,赶快检查自己的 Windows Vista/7/8/2008 R2 是否已安装好 MS17-010 安全更新!(Windows 10 有强迫安全更新,风险较低)