英国专家花了几十块钱,阻止了比特币勒索病毒的继续传播
昨天爱范儿(微信:ifanr)报道了一则在全球蔓延的勒索病毒事件。这款病毒不仅搅乱了全球网络,也让企业及机构用户人心惶惶。
罪魁祸首则是一个名为 WannaCry 的勒索软件。一旦中毒,电脑就会显示 “你的电脑已经被锁,文件已经全部被加密,除非你支付等额价值 300 美元的比特币,否则你的文件将会被永久删除” 。
而除了英国,中国也成为这次大规模网络攻击的受害者,确切的说,很多即将毕业的大学生成为了受害者。
从昨晚开始,就陆续有网友在微博上爆料称电脑中了病毒,文档被加密,同样被要求支付 300 美元等价的比特币才能解锁电脑。很多大四学生都表示辛辛苦苦码了一年的论文没被学校挂掉,反而被黑客挂掉了。
目前,尚未有黑客组织认领这次袭击。但业界人士的共识是,这次大规模网络攻击采用了美国国家安全局(NSA)开发的黑客工具。几个私立网络安全公司表示,发动网络袭击的黑客用 NSA 开发的黑客工具 “永恒之蓝(Eternal Blue)” 与 WannaCry 勒索软件捆绑,“永恒之蓝” 可以利用 Windows 系统漏洞,强制 “中招” 的电脑运行 WannaCry 勒索软件。
据统计数据显示,目前全球 100 多个国家和地区都被勒索病毒所影响,估计全球已有超过 10 万台电脑被感染。其中,截止 5 月 13 日 19 点,中国已有 28388 家机构被感染。
不过,幸运的是,比特币勒索病毒的蔓延势头已经被扑灭。
据 @英国那些事儿发布的微博,一位来自英国的网络安全人员在无意中购买了一个特殊的域名后,一不小心阻止了一场全球性的网络攻击。
据悉,当昨天这场大规模网络病毒爆发后,世界各国的安全人员都开始了对病毒样本的分析,其中有一名英国的安全人员,分析病毒的代码时,发现在代码的始端,有一个毫无规律的奇怪域名地址。
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
而地球另一端思科的网络安全人员,同时也发现了这个域名。通过分析他们发现,在昨天之前,网络上完全没有针对这个域名的访问。而昨天开始,这个域名的访问量激增,峰值达到了每小时 1400 多次。
这个好奇的英国网络安全人员,照例搜索了一下这个域名的信息,发现该域名并没有被注册。
于是,他干脆花了几十块钱把这个奇怪的域名注册下来,结果有趣的事情发生了…
一瞬间,这个域名接到了几乎全世界各个国家的电脑的连接。
其实懵逼的他,完全不知道发生了什么。后来才发现这随手的一注册,简直立了大功,阻止了比特币勒索病毒的继续传播。
随着对病毒代码的进一步分析,这个域名看起来像是病毒作者给自己留的一个紧急停止开关,以防止病毒失控。
而安全人员也在代码里找到了这样的语句。
这个代码的逻辑是这么写的:
- 访问这个域名
- 如果 这个域名存在
- 那么 退出一切
- 反之如果这个域名不存在
- 那么 开始继续攻击
换而言之,就是每一个感染了病毒的机器,在启动之前都会事先访问一下这个域名,如果这个域名依旧不存在,那就继续传播;如果已经被人注册了,那就停止传播。事后,该安全人员在 Twitter 上自嘲:
我坦白,在我注册这个域名之前,完全不知道他能停止这次病毒的传播。这发现完全意外。所以以后我简历上大概可以加一句,一不小心阻止了一场全球性的网络攻击。
后来,他根据对域名的访问信息,做了一个受感染电脑分布情况的地图,地图上的每一个蓝点,不止代表着一台被感染了病毒的机器,还代表着,这是一台访问了这个域名,决定停止继续攻击其他电脑的机器。
(图自:Scoopnest.com)
虽然这件事情对于已经被感染的机器无能为力,但这个举动,已经阻止了进一步大范围爆发的可能。不过截至到发稿前,有网友表示,目前病毒已经有新变种,不需要验证这个域名是否能访问就开始传播。