首先,到底称之为比特币病毒”的勒索蠕虫,英文大名叫做WannaCry,另外还有俩比较常见的小名,分别是WanaCrypt0r和WCry。
根据科技网站Wired的友们,它是2017年3月底就已经出现过的一种勒索程序的最新变种,而追根溯源的话是来自于微软操作系统一个叫做永恒之蓝”(Eternal
Blue)的漏洞。美国国家安全局(NSA)曾经根据它开发了一种网络武器,2017年2月刚刚由于微软发布了新补丁而被抛弃”。三月底那次勒索程序就叫WannaCry,所以如果你在外媒看到WannaCry
2.0或者WanaCrypt0r 2.0的说法,所指也是本次爆发的勒索程序。
后来有个英国小哥阻止了WannaCry的进一步全球肆虐,他在自己的博客上写下了全过程,甚至英国情报机关GCHQ都在官网转po了这篇博文。
事情经过是这样的:MalwareTech本来应该在度假中,不过他还是迅速反应,找到了一份WannaCry软件的样本。阅读代码时,他发现了一个没有被注册过的域名,接下来的代码意思就是WannaCry在黑点电脑前的运行中会先试图访问该域名,如果访问失败就黑掉系统,如果成功则自动退出。
于是MalwareTech就把这个域名给注册了。
在后来一些中文媒体的报道中,小哥的这一举动被强调成是突发奇想”或者下意识”之举。正是因为无效域名被注册,后来被WannaCry感染的电脑都在访问该域名时得到了肯定的返回值,于是没有再锁定信息、展开敲诈。
不过MalwareTech自己友们却不是这样的。他在博客中写道,注册这个域名是他作为网络安全工作人员的标准做法”(standard
practice)。过去一年里,遇到所有这样短时间访问量激增的无效域名,他都会将其注册后扔进前面图里提到的天坑”(sinkhole)里,而这个天坑”的作用就是捕获恶意流量”。
然而MalwareTech职业灵敏度,让他开始考虑WannaCry是否会定期或在特请情况下修改程序中的无效域名,因为如果是这样的话,仅仅注册他所发现的这个域名就无法阻止未来袭击。
即使软件里没有这样的部分,开发者依然能够手动升级WannaCry后再度把它传播开来,所需要做的也就仅仅是替换一个新的无效域名而已。
还有一种更糟糕的情况:如果WannaCry程序中还有另一层自我保护机制,那么无效域名的注册很有可能导致目前所有被感染电脑自动为所有信息加密,无法复原。
为了排除后一种情况,MalwareTech干脆修改了自己一台电脑的主机文件,让它无法连接那个已经被注册了的前无效域名。
电脑成功蓝屏了。
MalwareTech写道:你可能无法想象一个成年男人在屋里兴奋得跳来跳去,原因竟然是自己电脑被勒索软件搞失灵了。但我当时确实就那样了。”测试结果表明,他的标准做法”确实阻止了WannaCry的进一步传播。
本文部分内容来自互联网,如有疑问请与我们联系。
发布者:币侠,转转请注明出处:https://www.yfhhf.com/qukuai/87628.html
