在過去的24小時裡,一個名為WannaCry的勒索軟體程式已經關閉了99個國家的75000多臺電腦,其中包括英國的一系列醫院和西班牙的重要天然氣和水設施。但是,儘管這次攻擊規模巨大,阻止新的感染似乎只需註冊一個網址。
今天早上,研究人員宣佈他們在勒索軟體程式的程式碼中發現了一個殺戮開關——一個單一的域,註冊後可以防止任何感染的發生。目前尚不清楚註冊該域是否能阻止每一種病毒的感染,但它應該能嚴格限制攻擊的全球傳播。
關鍵的網址是在一小部分程式碼中找到的,其目的尚不清楚。當程式感染一臺新計算機時,它首先檢查一個模糊的網址——iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com——以檢視域是否已註冊。只要域名未被佔用,感染就會繼續進行,加密計算機硬碟並將其鎖定,直到支付贖金。
這一特點最初是由一位22歲的英國研究人員註意到的,他以MalwareTech的名字寫作。作為實驗,MalwareTech註冊了這個域名;現在,當程式執行它的檢查,它發現該網址註冊和佔用。直到後來,這一舉措的效果才變得明顯:佔領這一領域防止了任**的感染髮生。當勒索軟體發現域名被佔用時,它會突然停止安裝過程,使較大的系統不受影響。其結果是一個主要的保護計算機仍然容易受到攻擊:即使勒索軟體最終執行在您的計算機上,翻轉殺死開關將阻止它舉行您的勒索。
目前還不清楚為什麼勒索軟體中包含這樣一個殺戮開關。有人猜測這可能是創造者遠端關閉系統的一種方式,儘管沒有跡象表明他或她決定這麼做。MalwareTech有不同的理論:檢查域名是防止勒索軟體被惡意軟體研究人員發現的一種方法。如果程式是在一個受控的“沙盒”環境中執行的,研究人員通常使用它來檢查程式碼,而不讓自己暴露在惡意軟體中,那麼由於沙盒的限制,這個域很可能已經被佔用了。在這些情況下,阻止安裝是一個有用的技巧。
扳動殺戮開關可能不會完全停止WannaCry勒索軟體。目前尚不清楚觀察到的感染中有多少是由MalwareTech分析的特定惡意軟體菌株造成的。除此之外,作者還可以很容易地傳送帶有不同域或完全沒有kill-switch協議的新版勒索軟體。儘管如此,當微軟使用者急於修補這個漏洞,醫院也試圖重新控制他們的IT系統時,這種巧妙的程式碼分析可能輓救了更多的生命。
... Marcus Hutchins,又名MalwareTech,透過註冊在勒索軟體原始碼中找到的域名,遏制了全球勒索軟體的流行。這個域名為新的感染提供了一個漏洞。勒索軟體沒有加密裝置,而是處於休眠狀態。在同一個月的晚些...
...。相反,您的使用者代理資料會被檢測到,並被髮送到一個網頁,提示您下載軟體來“修復”問題。 ...
...連結下載exeHelper。你必須接受論壇的條款和條件,但不必註冊任何東西。右鍵單擊下載的檔案並選擇以管理員身份執行。讓這個過程完成。 ...
...經感染的人都沒有幫助。MalwareTechBlog背後的安全研究人員註冊了這個地址,透過他們的請求跟蹤新的感染,卻沒有意識到這是緊急殺戮開關。 ...
...tigena這樣的高階機器學習解決方案在很長一段時間內不太可能在家用電腦上使用。它實在太複雜太強大了。數學原理和先進的環境掃描已經開始滲透,迫使家用防毒軟體供應商重新考慮他們的發展戰略。 ...
...有一個系統是完美的。在Mac上像其他任何計算機一樣,它可能會得到惡意軟體。雖然使用者習慣確實起到了作用,但你會很高興知道你的Mac自然受到了大多數威脅的保護。讓我們看看macOS是如何構建來抵抗病毒和其他惡意軟體的...
...高。攻擊者意識到,試圖將惡意軟體包的各個方面整合到單個有效負載中並不總是最有效的方法。 ...
... 如果你真的點選了一個連結,一個網站要求你下載一個檔案——同樣,不要這樣做。正是使用者對朋友資訊的固有信任使得這種傳播惡意軟體的方式特別有效。 ...
...軟體的風險是一個多方面的過程,根據每個使用者案例和單個組織的風險狀況,組合和定製各種策略。下面是最流行的策略,可以幫助阻止迷宮攻擊的權利在其軌道。 ...