注册单个网址可能已阻止全局恶意软件攻击

在过去的24小时里，一个名为WannaCry的勒索软件程序已经关闭了99个国家的75000多台电脑，其中包括英国的一系列医院和西班牙的重要天然气和水设施。但是，尽管这次攻击规模巨大，阻止新的感染似乎只需注册一个网址。...

在过去的24小时里，一个名为WannaCry的勒索软件程序已经关闭了99个国家的75000多台电脑，其中包括英国的一系列医院和西班牙的重要天然气和水设施。但是，尽管这次攻击规模巨大，阻止新的感染似乎只需注册一个网址。

今天早上，研究人员宣布他们在勒索软件程序的代码中发现了一个杀戮开关——一个单一的域，注册后可以防止任何感染的发生。目前尚不清楚注册该域是否能阻止每一种病毒的感染，但它应该能严格限制攻击的全球传播。

关键的网址是在一小部分代码中找到的，其目的尚不清楚。当程序感染一台新计算机时，它首先检查一个模糊的网址——iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com——以查看域是否已注册。只要域名未被占用，感染就会继续进行，加密计算机硬盘并将其锁定，直到支付赎金。

这一特点最初是由一位22岁的英国研究人员注意到的，他以MalwareTech的名字写作。作为实验，MalwareTech注册了这个域名；现在，当程序运行它的检查，它发现该网址注册和占用。直到后来，这一举措的效果才变得明显：占领这一领域防止了任**的感染发生。当勒索软件发现域名被占用时，它会突然停止安装过程，使较大的系统不受影响。其结果是一个主要的保护计算机仍然容易受到攻击：即使勒索软件最终运行在您的计算机上，翻转杀死开关将阻止它举行您的勒索。

目前还不清楚为什么勒索软件中包含这样一个杀戮开关。有人猜测这可能是创造者远程关闭系统的一种方式，尽管没有迹象表明他或她决定这么做。MalwareTech有不同的理论：检查域名是防止勒索软件被恶意软件研究人员发现的一种方法。如果程序是在一个受控的“沙盒”环境中运行的，研究人员通常使用它来检查代码，而不让自己暴露在恶意软件中，那么由于沙盒的限制，这个域很可能已经被占用了。在这些情况下，阻止安装是一个有用的技巧。

扳动杀戮开关可能不会完全停止WannaCry勒索软件。目前尚不清楚观察到的感染中有多少是由MalwareTech分析的特定恶意软件菌株造成的。除此之外，作者还可以很容易地发送带有不同域或完全没有kill-switch协议的新版勒索软件。尽管如此，当微软用户急于修补这个漏洞，医院也试图重新控制他们的IT系统时，这种巧妙的代码分析可能挽救了更多的生命。