WannaCry(又稱為WanaCrypt0r 2.0)是一款電腦勒索病毒,通過電子郵件傳播。該病毒會加密用戶的數(shù)據(jù),然后要求用戶付款作為解鎖數(shù)據(jù)的交換。從2017年5月12日開始,該病毒攻擊了包括西班牙、英國、意大利、俄羅斯、中國在內的眾多國家。據(jù)《衛(wèi)報》報道,在西班牙,包括電信公司Telefónica在內的許多大公司都被感染。在英國,國民健康服務體系(NHS)因為受到攻擊而運營中斷,X光檢查無法進行,檢查結果和病歷無法訪問。
但是,病毒傳播突然停止了,因為網(wǎng)絡安全研究人員@malwaretechblog在Darien Huss(來自安全公司Proofpoint)的幫助下無意間發(fā)現(xiàn)并激活了惡意軟件中的Kill Switch。他在接受采訪時說:
我中午和朋友出去吃飯,在大約3點回來的時候,我看到網(wǎng)上突然出現(xiàn)了大量有關NHS和多個UK組織遭到攻擊的新聞。我大致了解了一下,然后找到了一個惡意軟件樣本,我發(fā)現(xiàn)它正在連接一個特定的域名,那個域名并沒有被注冊。所以,我是無意間發(fā)現(xiàn)的,我那會并不知道它在做什么。
為了防止創(chuàng)建者想要阻止病毒傳播,Kill Switch被硬編碼在惡意軟件中。其中包括一個非常長的、沒有意義的域名,惡意軟件會向它發(fā)送請求,如果請求返回,則表明域名是活的,Kill Switch就會發(fā)揮作用,而惡意軟件就會停止傳播。一經注冊,該域名每秒就登記成千上萬的連接。
按照MalwareTech的說法,他之所以購買這個域名,是因為他的公司追蹤僵尸網(wǎng)絡,通過注冊這些域名,他們可以深入了解僵尸網(wǎng)絡如何擴散。他說,“我的初衷只是監(jiān)控其傳播,看看我們后續(xù)是否可以做點相關的工作。但我們竟然通過注冊這個域名阻止了傳播。”但他很快就意識到“我們還需要阻止其他的攻擊方法”。他計劃繼續(xù)持有該URL,和他的同事一起收集IP,并發(fā)送給執(zhí)法機關,由他們通知被感染的受害者,因為并不是所有被感染的人都知道自己被感染了。同時,他建議人們升級系統(tǒng),并補充說:
這事還沒完。攻擊者會意識到我們如何阻止了它的傳播,他們會修改代碼,然后重新開始。務必啟用Windows升級功能,升級然后重啟。
來自Proofpoint的Ryan Kalember表示,@malwaretechblog注冊這個域名太晚了,沒能幫助歐洲和亞洲,因為許多組織已經被感染了。Kill Switch并不能幫助那些已經被勒索軟件感染的計算機。但是,他讓美國人有更多的時間在被感染之前升級他們的系統(tǒng),提高防護能力。另外,可能會有包含不同Kill Switch的惡意軟件變種繼續(xù)傳播。
針對WannaCrypt攻擊,微軟專門發(fā)布了一份用戶指南。該指南詳細說明了個人和企業(yè)應該采取的防護步驟。此外,為了保護僅有用戶支持服務的Windows平臺(其中包括Windows XP、Windows 8和Windows Server 2003),他們向這些平臺的用戶提供了安全升級補丁。按照微軟的說法,運行Windows 10的用戶目前還不是攻擊目標。
3月份的時候,微軟發(fā)布了一個安全升級補丁,用于消除這些攻擊利用的漏洞。已經啟用Windows升級功能的用戶可以抵御針對這個漏洞的攻擊。微軟建議,那些沒有應用安全升級補丁的組織應該立即部署Microsoft Security Bulletin MS17-010。對于使用Windows Defender的用戶,微軟發(fā)布了一個可以檢測到Ransom:Win32/WannaCrypt威脅的補丁。另外,微軟提醒用戶:
攻擊類型可能會隨時間進化,因此,任何額外的深度防護策略都會提供額外的防護。(例如,為了進一步抵御SMBv1攻擊,用戶應該考慮阻斷他們網(wǎng)絡中的遺留協(xié)議)。
……
已經觀察到的部分攻擊使用了常見的釣魚式攻擊策略,包括惡意附件。用戶在打開來自不受信任或未知來源的文檔時要保持警惕。對于Office 365用戶,我們會繼續(xù)監(jiān)控和升級,以抵御這類威脅。
要了解有關該惡意軟件的更多信息,可以登錄微軟惡意軟件防護中心。