咨詢電話:0571-88904011
服務熱線:400-675-9388
業內新聞

勒索病毒全球蔓延 揭秘如何成功阻止災難

發布時間:2017-05-15     來源:華軍數據恢復中心     [打印]
       今天早上,幾乎所有人的朋友圈都在流傳著這樣一條消息——

全球爆發電腦勒索病毒,“疫情”已波及99個國家。包括中國、俄羅斯、英國、美國在內的眾多國家,都被該病毒攪得雞犬不寧。

除英國國家醫療服務體系(NHS)、美國聯邦快遞、西班牙電信公司外,俄羅斯內政部的1000多臺電腦也紛紛“中招”,受到嚴重影響。而據俄羅斯RT新聞網報道,最新的數據統計顯示,全球范圍內已有超過10萬臺電腦被攻擊。

勒索病毒全球蔓延 他利用幾美元成功阻止災難英國NHS系統遭到此病毒攻擊 圖據《每日郵報》

但就在這場損傷巨大的全球“浩劫”中,一位“意外的英雄”橫空出世——署名為MalwareTech的一名英國信息安全研究員,將該病毒中隱藏的“刪除開關”找了出來,成功阻止了該病毒在全球的傳播擴散。

今天下午,紅星新聞記者對其進行了采訪,揭秘了MalwareTech是如何利用幾美元,就成功阻止了一場病毒繼續在全球范圍內傳播的災難。

拒付贖金

“600美元,不如重新買臺電腦”

據國外媒體報道,這種勒索病毒名為WannaCry(及其變種)。被感染后,用戶電腦中的文件等會被加密鎖定,并提示受害者支付一定價值的比特幣贖金才可解鎖。而據紅星新聞記者了解到的情況,受害者們被勒索的贖金金額并不相同,有的為300美元,有的則為600美元。

在寧波大學城鄉規劃專業讀大二的許強(化名)就是該病毒的受害者之一。他告訴紅星新聞記者,今早起床時,他在手機上看到了相關新聞,為了以防萬一,他還特意拿出了有段時間未曾使用的U盤,準備對電腦文檔進行備份。但開機之后,電腦屏幕上彈出勒索窗口卻讓他徹底傻眼。

勒索病毒全球蔓延 他利用幾美元成功阻止災難

勒索病毒全球蔓延 他利用幾美元成功阻止災難許強電腦上彈出的勒索窗口。受訪者供圖

“我都沒有聯網。”對于電腦的“中招”,許強表示十分不解。

許強告訴記者,網頁上面的中文勒索稱,“最好3天之內付款,過了3天費用就會翻倍,一個禮拜之內未付款,將會永遠恢復不了,”對此,許強堅定表示,自己是不會給黑客贖金的。

“600美元(約合4138元人民幣),還不如去重新買臺電腦。”許強說,他將重裝電腦系統。

紅星新聞記者通過調查發現,和許強一樣的人并不在少數。在一個QQ群里,記者發現有許多剛入群的新人們紛紛吐槽,自己的電腦也“中招”了,正在重裝系統,或尋求解決辦法。目前,這個群的成員還在不斷增加。

而卡巴斯基實驗室在向包括紅星新聞在內的媒體所提供的關于此事的評論中這樣寫道:

“該勒索軟件可以通過一種Windows漏洞感染受害者,微軟公司已經在微軟公告MS17-010中修復了這一漏洞。這種名為‘永恒之藍’(Eternal Blue)的漏洞,于4月14日在Shadowsbroker黑客組織的信息中被披露。”

還有一些專家則表示,該漏洞最早其實是被美國國安局(NSA)發現的,但其研發的相關工具被Shadowsbroker竊取利用。

意外英雄

發現病毒軟件中隱藏“刪除開關”

署名為MalwareTech的英國研究員告訴紅星新聞記者,其實在這場全球“浩劫”剛開始時,他就已經從英國的一個留言板上得到了消息。但不巧的是,他當時正在外面。

“等我回家后,我在WannaCry病毒中發現了一個未注冊的域名,并因此決定注冊該域名,以便追蹤這一病毒。”

為此,MalwareTech花了10.69美元的費用注冊購買了這一域名。

勒索病毒全球蔓延 他利用幾美元成功阻止災難MalwareTech向美國《紐約時報》提供的全球電腦被勒索軟件攻擊圖片 圖據《紐約時報》

事實上,MalwareTech找到的,就是該病毒中隱藏的“刪除開關”。

“后來在一些分析員的幫助下,我們終于確認,在注冊了這一域名后,這一感染停止了。”

而在接受英國《衛報》采訪時,MalwareTech則表示,在上線后,該域名接收到每秒數千次的連接請求。

而這又意味著什么呢?

MalwareTech向紅星新聞記者解釋說,通常情況下,他們經常采用這種方式來追蹤惡意病毒軟件,“或者用來阻止犯罪分子控制該病毒”。也就是說,在注冊該域名后,他將擁有WannaCry病毒的運行權。

這一“開關”被編碼隱藏在惡意軟件中,如果惡意軟件的制造者希望停止該病毒的傳播,那么只要激活這一開關即可。這里的開關機制為,該惡意軟件將會向任何網站,包括這個非常長的毫無感官意義的域名網站發送請求,而一旦該請求得到回應,就意味著該域名上線,“刪除開關”就會生效,惡意軟件也會停止傳播。

為時已晚

歐洲、亞洲已來不及搶救 美國還有時間

來自Proofpoint安全公司的瑞安說:

“他們(MalwareTech和其他同事)今天得到了意外英雄獎。他們根本沒有意識到,這一舉動對延緩勒索病毒的傳播起到了多么巨大的作用。”

對于“意外英雄”這樣的頭銜,MalwareTech并沒有排斥。他說,“我們也是直到12日晚上6點才意識到發生了什么,但它確實有效。”

勒索病毒全球蔓延 他利用幾美元成功阻止災難MalwareTech今早發推:“坦白說在注冊域名時,我也不知道這能夠阻止其傳播,直到注冊后我才發現,所以這純屬意外。” 推特截圖

不過瑞安也表示,MalwareTech注冊該域名的時機太晚,已經無法阻止該病毒傳播至歐洲和亞洲,以致于眾多組織和機構被感染。但這卻給眾多美國用戶爭取到了時間,使他們可以緊急對系統升級補丁,避免感染病毒。

但遺憾的是,這一“刪除開關”對于已經感染了該病毒的電腦無能為力。

MalwareTech告訴紅星新聞記者,他的域名上線后,部分電腦可能還會被感染,“不過加密的情況不會發生。”但仍不排除該病毒可能會有其他變種,而且擁有完全不同的“刪除開關”。所以,這種病毒可能還會繼續傳播。

“不過WannaCry這一版本不會再奏效了。”

令MalwareTech略為擔心的是,雖然這個病毒版本已經失效,“但他們(背后的制作者)可能還會制造出更多的病毒。”

雖然做出了如此“壯舉”,但MalwareTech卻告訴紅星新聞記者,事實上他本人在這一領域僅工作了一年之久,不過作為一項愛好,他已經做了有10年了。

網站地圖 |  關于我們 |  合作伙伴 |  快遞運輸 |  Copyright @ 2013-2023 杭州華軍科技有限公司, All rights reserved.
杭州華軍科技有限公司 版權所有 浙ICP備15017254號-2

AV人摸人人人澡人人超碰下载