休假的英國資安專家,意外暫緩了 WanaCrypt0r 2.0 勒索軟體的全球攻擊

作者 | 發布日期 2017 年 05 月 14 日 15:49 | 分類 網路 , 資訊安全 follow us in feedly

近日爆發的 WanaCrypt0r 2.0 勒索軟體可說是席捲全球,只要是 Windows 10 以下的作業系統且沒有更新 3 月 14 日釋出的修補軟體,電腦檔案都有可能受到攻擊,如受波及電腦中所有檔案將被加密,直到付出贖金取得密碼方能解碼,不過這波攻擊卻意外被英國一位資安專家以 8.29 英鎊(約新台幣 325 元)給擋了下來。




不小心阻止了一場全球路攻擊

網路代號為「MalwareTech」的年輕資安專家在網路表示,當時他有一星期假期,因此決定用這段時間來研究一下這個病毒,結果意外發現軟體的「中止開關」(killswith)。

他藉由從英國健保署肆虐軟體樣本準備進行研究,發現 WanaCrypt0r 2.0 會一直嘗試存取某個像是隨機在鍵盤打出來的一長串網址名稱。當時他無法理解這串網址的意義,由於這個網址名稱並未註冊啟用,好奇心與職業習慣下,他花了 8. 29 英鎊把網域註冊下來,一註冊後他發現該網域出現成千上萬的連線量,而且來自全世界各地。

 

▲ 勒索軟體的樣本部分程式碼。(Source:MalwareTech

一開始他不清楚流量來自何方,隨著對病毒碼的進一步分析,各安全研究機構也開始注意到這個網址,而各方的勒索攻擊也停了下來,他們才發現這似乎是緊急中止開關。

網址有無效成為中止關鍵

原來這個勒索軟體啟動後會先連到下面這一長串網址:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,連線失敗後才會執行檔案加密,否則就放棄檔案加密,並結束軟體退出。也就是說,這一長串看似無意義的網址一旦註冊生效,在各個感染勒索軟體的主機上將能停止擴散。不過有資安專家表示,先前受感染的電腦檔案仍有被加密勒索的風險,因為這軟體是屬於「潛伏」型的,會先行進後才「發作」,不過至少暫緩了進一步擴大的可能。

有網路安全專家透露,這可能是勒索病毒的作者留的一著「後路」, 希望在軟體傳播失控或需要抑止時的開關,透過註冊這個網址來中止勒索軟體的傳播,以免連自己都難以收場。

▲ 現在網址已被註冊了,連線後會出現這個畫面。

雖然 WanaCrypt0r 2.0 勒索軟體的散布因為網址已註冊而暫時中止,但資安人員也建議這病毒仍隨時有可能改寫出現新變種,因此所有 Windows 使用者還是要安裝微軟的修補程式,以免電腦再度感染。