北京時(shí)間5月13日下午消息,據(jù)英國《衛(wèi)報(bào)》報(bào)道,一名“意外的英雄”已發(fā)現(xiàn),如何阻止勒索病毒W(wǎng)annaCry在全球范圍內(nèi)的傳播。他花了幾美元去注冊(cè)隱藏在WannaCry中的一個(gè)域名。
此次勒索病毒事件給聯(lián)邦快遞和西班牙電信等大公司,以及英國國家醫(yī)療服務(wù)體系(NHS)造成了嚴(yán)重影響。NHS多家醫(yī)院的運(yùn)營已暫停,X光機(jī)無法使用,檢測報(bào)告和患者醫(yī)療記錄無法獲取,而電話也難以接通。
在信息安全公司Proofpoint的達(dá)里恩·哈斯(Darien Huss)的幫助下,Twitter上自稱@malwaretechblog的英國信息安全研究員發(fā)現(xiàn)了隱藏在WannaCry中的一個(gè)“刪除開關(guān)”。
這一開關(guān)被編碼在WannaCry之中。如果惡意軟件的制造者希望停止其傳播,那么就可以激活開關(guān)。根據(jù)開關(guān)機(jī)制,惡意軟件會(huì)向長域名發(fā)送請(qǐng)求,如果請(qǐng)求得到響應(yīng),表明該域名已經(jīng)上線,那么刪除開關(guān)就會(huì)生效,惡意軟件就將停止傳播。
這名研究員表示:“我發(fā)現(xiàn)這個(gè)域名沒有注冊(cè),我的想法是,‘我可以去試試看。’”購買這個(gè)域名花了他10.69美元的費(fèi)用。在上線后,該域名收到了每秒數(shù)千次的連接請(qǐng)求。
Proofpoint的瑞安·卡萊姆伯(Ryan Kalember)表示:“他們獲得了今天意外的英雄獎(jiǎng)勵(lì)。他們沒有意識(shí)到,這對(duì)延緩勒索病毒的傳播起到了巨大的作用。”
他表示,@malwaretechblog注冊(cè)該域名的時(shí)間已經(jīng)太晚,無法給歐洲和亞洲帶來太大幫助。在這些地區(qū),許多機(jī)構(gòu)都受到了影響。不過,這給美國用戶爭取到了時(shí)間,使他們可以緊急給系統(tǒng)打補(bǔ)丁,避免感染病毒。
對(duì)于已被勒索病毒感染的計(jì)算機(jī),這一刪除開關(guān)無法起到幫助。此外也很有可能,攜帶其他類型刪除開關(guān)的惡意軟件仍在繼續(xù)傳播。
一個(gè)名為Shadow Brokers的組織于4月14日公布了這個(gè)惡意軟件。該組織去年表示,從美國國家安全局(NSA)竊取了一系列的“信息戰(zhàn)武器”。