北京時間5月13日下午消息,據(jù)英國《衛(wèi)報》報道,一名“意外的英雄”已發(fā)現(xiàn),如何阻止勒索病毒W(wǎng)annaCry在全球范圍內(nèi)的傳播。他花了幾美元去注冊隱藏在WannaCry中的一個域名。
此次勒索病毒事件給聯(lián)邦快遞和西班牙電信等大公司,以及英國國家醫(yī)療服務體系(NHS)造成了嚴重影響。NHS多家醫(yī)院的運營已暫停,X光機無法使用,檢測報告和患者醫(yī)療記錄無法獲取,而電話也難以接通。
在信息安全公司Proofpoint的達里恩·哈斯(Darien Huss)的幫助下,Twitter上自稱@malwaretechblog的英國信息安全研究員發(fā)現(xiàn)了隱藏在WannaCry中的一個“刪除開關”。
這一開關被編碼在WannaCry之中。如果惡意軟件的制造者希望停止其傳播,那么就可以激活開關。根據(jù)開關機制,惡意軟件會向長域名發(fā)送請求,如果請求得到響應,表明該域名已經(jīng)上線,那么刪除開關就會生效,惡意軟件就將停止傳播。
這名研究員表示:“我發(fā)現(xiàn)這個域名沒有注冊,我的想法是,‘我可以去試試看。’”購買這個域名花了他10.69美元的費用。在上線后,該域名收到了每秒數(shù)千次的連接請求。
Proofpoint的瑞安·卡萊姆伯(Ryan Kalember)表示:“他們獲得了今天意外的英雄獎勵。他們沒有意識到,這對延緩勒索病毒的傳播起到了巨大的作用。”
他表示,@malwaretechblog注冊該域名的時間已經(jīng)太晚,無法給歐洲和亞洲帶來太大幫助。在這些地區(qū),許多機構都受到了影響。不過,這給美國用戶爭取到了時間,使他們可以緊急給系統(tǒng)打補丁,避免感染病毒。
對于已被勒索病毒感染的計算機,這一刪除開關無法起到幫助。此外也很有可能,攜帶其他類型刪除開關的惡意軟件仍在繼續(xù)傳播。
一個名為Shadow Brokers的組織于4月14日公布了這個惡意軟件。該組織去年表示,從美國國家安全局(NSA)竊取了一系列的“信息戰(zhàn)武器”。
京公網(wǎng)安備 11010502049343號