近日爆发的 WanaCrypt0r 2.0 勒索软件可说是席卷全球,只要是 Windows 10 以下的操作系统且没有更新 3 月 14 日释出的修补软件,电脑档案都有可能受到攻击,如受波及电脑中所有档案将被加密,直到付出赎金取得密码方能解码,不过这波攻击却意外被英国一位资安专家以 8.29 英镑(约新台币 325 元)给挡了下来。
不小心阻止了一场全球路攻击
网络代号为“MalwareTech”的年轻资安专家在网络表示,当时他有一星期假期,因此决定用这段时间来研究一下这个病毒,结果意外发现软件的“中止开关”(killswith)。
他借由从英国健保署肆虐软件样本准备进行研究,发现 WanaCrypt0r 2.0 会一直尝试存取某个像是随机在键盘打出来的一长串网址名称。当时他无法理解这串网址的意义,由于这个网址名称并未注册启用,好奇心与职业习惯下,他花了 8. 29 英镑把网域注册下来,一注册后他发现该网域出现成千上万的连线量,而且来自全世界各地。
Sample I found scans SMB after dropping WannaCrypt. Can anyone confirm it’s the same thing? P2P spreading ransomware would be significant. pic.twitter.com/zs5Td4ovvL
— MalwareTech (@MalwareTechBlog) 2017年5月12日
▲ 勒索软件的样本部分程式码。(Source:MalwareTech)
一开始他不清楚流量来自何方,随着对病毒码的进一步分析,各安全研究机构也开始注意到这个网址,而各方的勒索攻击也停了下来,他们才发现这似乎是紧急中止开关。
网址有无效成为中止关键
原来这个勒索软件启动后会先连到下面这一长串网址:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,连线失败后才会执行档案加密,否则就放弃档案加密,并结束软件退出。也就是说,这一长串看似无意义的网址一旦注册生效,在各个感染勒索软件的主机上将能停止扩散。不过有资安专家表示,先前受感染的电脑档案仍有被加密勒索的风险,因为这软件是属于“潜伏”型的,会先行进后才“发作”,不过至少暂缓了进一步扩大的可能。
有网络安全专家透露,这可能是勒索病毒的作者留的一著“后路”, 希望在软件传播失控或需要抑止时的开关,透过注册这个网址来中止勒索软件的传播,以免连自己都难以收场。
▲ 现在网址已被注册了,连线后会出现这个画面。
虽然 WanaCrypt0r 2.0 勒索软件的散布因为网址已注册而暂时中止,但资安人员也建议这病毒仍随时有可能改写出现新变种,因此所有 Windows 使用者还是要安装微软的修补程式,以免电脑再度感染。
