貴州潛動力科技致力於為企事業單位提供互聯網軟件、APP、TV的開發及大數據分析服務!關於我們電話:0851-86747636
貴州潛動力
勒索病毒全球蔓延 他利用幾美元成功阻止災難
【摘要】全球爆發電腦勒索病毒,“疫情”已波及99個國家。包括中國、俄羅斯、英國、美國在內的眾多國家,都被該病毒攪得雞犬不寧。除英國國家醫療服務體係(NHS)、美國聯邦快遞、西班牙電信公司外,俄羅斯內政部的1000多台電腦也紛紛“中招”,受到嚴重影響。而據俄羅斯RT新聞網報道,最新的數據統計顯示,全球範圍內已有超過10萬台電腦被攻擊。英國NHS係統遭到此病毒攻擊 圖據《每日郵報》但就在這場損傷巨大的全球“浩劫”中,一位“意外的英雄”橫空出世——署名為MalwareTech的一名英國信息安全研究員,將該病毒中隱藏的“刪除開關”找了...

全球爆發電腦勒索病毒,“疫情”已波及99個國家。包括中國、俄羅斯、英國、美國在內的眾多國家,都被該病毒攪得雞犬不寧。

除英國國家醫療服務體係(NHS)、美國聯邦快遞、西班牙電信公司外,俄羅斯內政部的1000多台電腦也紛紛“中招”,受到嚴重影響。而據俄羅斯RT新聞網報道,最新的數據統計顯示,全球範圍內已有超過10萬台電腦被攻擊。

勒索病毒全球蔓延 他利用幾美元成功阻止災難英國NHS係統遭到此病毒攻擊 圖據《每日郵報》

但就在這場損傷巨大的全球“浩劫”中,一位“意外的英雄”橫空出世——署名為MalwareTech的一名英國信息安全研究員,將該病毒中隱藏的“刪除開關”找了出來,成功阻止了該病毒在全球的傳播擴散。

今天下午,紅星新聞記者對其進行了采訪,揭秘了MalwareTech是如何利用幾美元,就成功阻止了一場病毒繼續在全球範圍內傳播的災難。

拒付贖金

“600美元,不如重新買台電腦”

據國外媒體報道,這種勒索病毒名為WannaCry(及其變種)。被感染後,用戶電腦中的文件等會被加密鎖定,並提示受害者支付一定價值的比特幣贖金才可解鎖。而據紅星新聞記者了解到的情況,受害者們被勒索的贖金金額並不相同,有的為300美元,有的則為600美元。

在寧波大學城鄉規劃專業讀大二的許強(化名)就是該病毒的受害者之一。他告訴紅星新聞記者,今早起床時,他在手機上看到了相關新聞,為了以防萬一,他還特意拿出了有段時間未曾使用的U盤,準備對電腦文檔進行備份。但開機之後,電腦屏幕上彈出勒索窗口卻讓他徹底傻眼。

勒索病毒全球蔓延 他利用幾美元成功阻止災難

勒索病毒全球蔓延 他利用幾美元成功阻止災難許強電腦上彈出的勒索窗口。受訪者供圖

“我都沒有聯網。”對於電腦的“中招”,許強表示十分不解。

許強告訴記者,網頁上麵的中文勒索稱,“最好3天之內付款,過了3天費用就會翻倍,一個禮拜之內未付款,將會永遠恢複不了,”對此,許強堅定表示,自己是不會給黑客贖金的。

“600美元(約合4138元人民幣),還不如去重新買台電腦。”許強說,他將重裝電腦係統。

紅星新聞記者通過調查發現,和許強一樣的人並不在少數。在一個QQ群裏,記者發現有許多剛入群的新人們紛紛吐槽,自己的電腦也“中招”了,正在重裝係統,或尋求解決辦法。目前,這個群的成員還在不斷增加。

而卡巴斯基實驗室在向包括紅星新聞在內的媒體所提供的關於此事的評論中這樣寫道:

“該勒索軟件可以通過一種Windows漏洞感染受害者,微軟公司已經在微軟公告MS17-010中修複了這一漏洞。這種名為‘永恒之藍’(Eternal Blue)的漏洞,於4月14日在Shadowsbroker黑客組織的信息中被披露。”

還有一些專家則表示,該漏洞最早其實是被美國國安局(NSA)發現的,但其研發的相關工具被Shadowsbroker竊取利用。

意外英雄

發現病毒軟件中隱藏“刪除開關”

署名為MalwareTech的英國研究員告訴紅星新聞記者,其實在這場全球“浩劫”剛開始時,他就已經從英國的一個留言板上得到了消息。但不巧的是,他當時正在外麵。

“等我回家後,我在WannaCry病毒中發現了一個未注冊的域名,並因此決定注冊該域名,以便追蹤這一病毒。”

為此,MalwareTech花了10.69美元的費用注冊購買了這一域名。

勒索病毒全球蔓延 他利用幾美元成功阻止災難MalwareTech向美國《紐約時報》提供的全球電腦被勒索軟件攻擊圖片 圖據《紐約時報》

事實上,MalwareTech找到的,就是該病毒中隱藏的“刪除開關”。

“後來在一些分析員的幫助下,我們終於確認,在注冊了這一域名後,這一感染停止了。”

而在接受英國《衛報》采訪時,MalwareTech則表示,在上線後,該域名接收到每秒數千次的連接請求。

而這又意味著什麽呢?

MalwareTech向紅星新聞記者解釋說,通常情況下,他們經常采用這種方式來追蹤惡意病毒軟件,“或者用來阻止犯罪分子控製該病毒”。也就是說,在注冊該域名後,他將擁有WannaCry病毒的運行權。

這一“開關”被編碼隱藏在惡意軟件中,如果惡意軟件的製造者希望停止該病毒的傳播,那麽隻要激活這一開關即可。這裏的開關機製為,該惡意軟件將會向任何網站,包括這個非常長的毫無感官意義的域名網站發送請求,而一旦該請求得到回應,就意味著該域名上線,“刪除開關”就會生效,惡意軟件也會停止傳播。

為時已晚

歐洲、亞洲已來不及搶救 美國還有時間

來自Proofpoint安全公司的瑞安說:

“他們(MalwareTech和其他同事)今天得到了意外英雄獎。他們根本沒有意識到,這一舉動對延緩勒索病毒的傳播起到了多麽巨大的作用。”

對於“意外英雄”這樣的頭銜,MalwareTech並沒有排斥。他說,“我們也是直到12日晚上6點才意識到發生了什麽