8.29英鎊拯救了世界,WannaCrypt勒索病毒中場休息

頭條新聞     2017-05-14     檢舉

好戲劇化的發展,震驚全球的 WannaCrypt 勒索病毒(嚴格來說是蠕蟲),在一位英國資安研究員註冊某個網域名稱後,中止了第一波攻擊。(讓我想起電影世界大戰裡莫名烙賽停擺的外星人)

相信大家應該都從各大媒體看到報導了,WannaCrypt 勒索病毒參考先前美國國安局流出的攻擊程式,利用 Windows 的一個資安漏洞(微軟於今年 3 月已釋出安全更新),能主動攻擊感染同一區域網路中的未做 Windows Update 的 Windows Vista/7/8.1/2008R2 主機,將該主機的所有文件檔加密上鎖,要求美金 300 元的贖金。先在英國健保署、西班牙電信公司傳出嚴重災情,而俄羅斯、烏克蘭與台灣也受害嚴重,依據防毒公司 avast 的統計,全球共有 104 國家受害,超過 12 萬 6 千台機器被感染。而微軟為原本已停止支援多時的 Windows 2003/XP 破例緊急出了安全更新,可見事態之嚴重。 

但 WannaCrypt 的這波猛烈攻擊在英國一位資安研究員註冊了某個網域後意外停止了。

經營 MalwareTech 部落格的一位英國 22 歲年輕資安研究員分享他意外拯救世界的經過:

在 WannaCrypt 災情傳出後,MalwareTech 取得在英國健保署肆虐的 WannaCrypt 勒索軟體樣本準備進行研究,丟進隔離環境執行時,發現 WannaCrypt 會一直嘗試存取某個未註冊的網域名稱。

MalwareTech 在研究惡意程式時習慣會註冊拿下這類網域名稱,目的在於蒐集感染數據及研究破解之道,於是這回先花 8.29 英鎊註冊再說。

有趣的是,註冊網域名稱生效後,他接到其他研究員詢問,表示樣本似乎出了問題,已無法重現感染行為。

之後經過反組譯勒索軟體以及模擬未註冊網域情況,驗證了「勒索軟體只要檢測到該網域存在就會停止執行」,而網域名稱寫死在程式裡(有些惡意軟體會使用演算法動態改變使用的網域名稱,或同時檢查多個網域名稱才決定),換言之,這個網域名稱是當初設計用來停止活動的開關(概念是在研究室的沙箱環境中,連不該存在的網域也會有回應,此時惡意軟體會停止活動避免行跡敗露),除非勒索軟體改版,這波所散布的 WannaCrypt 勒索病毒,都將因為 MalwareTech 註冊網域而中止活動,這波的攻擊應該已告平息。

不過,可以預見勒索病毒作者一定會很快改版,試圖捲土重來,大家快利用這個天下掉下來的機會,趕快檢查自己的 Windows Vista/7/8/2008 R2 是否已安裝好 MS17-010 安全更新!(Windows 10 有強迫安全更新,風險較低)