??

[[191250]]

WannaCry的傳播腳步今晨戛然而止

今天一大早，全網(wǎng)的WannaCry蠕蟲(chóng)病毒攻擊突然減弱消退了!所有這一切功勞來(lái)自于英國(guó)研究人員@malwaretech，他通過(guò)逆向發(fā)現(xiàn)WannaCry代碼中有一個(gè)特殊域名地址：

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

??

這就像隨機(jī)敲打出來(lái)的域名。與此同時(shí)，研究人員也發(fā)現(xiàn)，昨天之前，網(wǎng)絡(luò)上完全沒(méi)有針對(duì)這個(gè)域名的訪問(wèn)流量，僅昨天一天時(shí)間，這個(gè)域名的訪問(wèn)量就達(dá)到每小時(shí)1400多次。

??

不可思議的是，@malwaretech竟然發(fā)現(xiàn)，該域名是個(gè)未經(jīng)注冊(cè)域名，出于職業(yè)習(xí)慣，他打算進(jìn)行一些sinkhole攻擊，于是他果斷出手，花費(fèi)了8.29英鎊就把它注冊(cè)在自己名下。注冊(cè)成功后，他發(fā)現(xiàn)這個(gè)域名可以接收到世界各國(guó)電腦系統(tǒng)的連接請(qǐng)求，這難道是WannaCry的C2域名嗎?隨著各路安全人員的逆向深入，發(fā)現(xiàn)該域名像是病毒制作者為防止事態(tài)失去控制，而故意留下的一個(gè)緊急停止開(kāi)關(guān)，因?yàn)槟嫦虼a中有這樣一段程序邏輯：

??

意思是這樣的：請(qǐng)求這個(gè)域名，如果該域名存在，則退出;如果該域名不存在，則繼續(xù)攻擊….，GOD，該域名竟然控制著WannaCry病毒的傳播，它就是WannaCry病毒傳播的“緊急開(kāi)關(guān)”(kill switch )。@malwaretech的隨手注冊(cè)，立了大功!，他在推特中說(shuō)道，“在注冊(cè)這個(gè)域名之前，我完全不知道能有此效果，這完全是個(gè)意外之舉?！?/p>

最終，媒體記者通過(guò)其注冊(cè)預(yù)留的郵箱聯(lián)系到了@malwaretech。

??

其實(shí)，在該事件一發(fā)生時(shí)，身為僵尸網(wǎng)絡(luò)研究人員的@malwaretech就及時(shí)對(duì)WannaCry病毒進(jìn)行了跟蹤分析，其制作了動(dòng)態(tài)分析趨勢(shì)圖被多家安全公司和媒體采用報(bào)道。

我國(guó)繼續(xù)呈高危感染態(tài)勢(shì)

雖然WannaCry蠕蟲(chóng)傳播被臨時(shí)“制止”了，但這只能阻止其通過(guò)網(wǎng)絡(luò)繼續(xù)感染傳播，并不能防止本機(jī)中毒被加密勒索。而且，從當(dāng)前情況來(lái)看，我國(guó)還在處于感染傳播嚴(yán)重階段，從malwaretech動(dòng)態(tài)圖分析，我國(guó)華東多個(gè)地區(qū)內(nèi)還繼續(xù)有WannaCry感染情況。

專家預(yù)測(cè)升級(jí)版的WannaCry2.0將會(huì)繼續(xù)發(fā)起攻擊

另外，據(jù)安全人員表示，這還沒(méi)完，攻擊者可能還會(huì)發(fā)起第二波WannaCry攻擊，新一波的變異WannaCry程序?qū)⒉粫?huì)內(nèi)置“緊急開(kāi)關(guān)”(kill switch)了，到時(shí)這種WannaCry升級(jí)版的傳播感染態(tài)勢(shì)將不可預(yù)計(jì)。希望人們盡快利用這段時(shí)間及時(shí)修復(fù)補(bǔ)丁，采取相關(guān)預(yù)防措施。

卡巴斯基研究人員Costin Raiu表示：

“我敢肯定，那些沒(méi)有緊急開(kāi)關(guān)(kill switch)域名的變異版本已經(jīng)在傳播了!”

Hacker House專家Matthew Hickey也透露：

“作為攻擊者來(lái)說(shuō)，只需要使用十六進(jìn)制編輯器簡(jiǎn)單更新一下程序，刪除那個(gè)所謂的緊急開(kāi)關(guān)或進(jìn)行其它的功能更新，這就是一個(gè)升級(jí)版的WannaCry2.0，所以，下一波攻擊將難以避免。在未來(lái)幾周或數(shù)月內(nèi)，我們將會(huì)看到不同的WannaCry變體傳播。對(duì)于我們廣大用戶來(lái)說(shuō)，請(qǐng)盡快升級(jí)補(bǔ)丁才是當(dāng)務(wù)之急!”

Hickey還表示：

“WannaCry不僅僅可以當(dāng)成蠕蟲(chóng)病毒，它還可以被其它惡意軟件利用，或搭載漏洞利用Payload發(fā)起多種形式的攻擊。”