今天早上,几乎所有人的朋友圈都在流传着这样一条消息——
全球爆发电脑勒索病毒,“疫情”已波及99个国家。包括中国、俄罗斯、英国、美国在内的众多国家,都被该病毒搅得鸡犬不宁。
除英国国家医疗服务体系(NHS)、美国联邦快递、西班牙电信公司外,俄罗斯内政部的1000多台电脑也纷纷“中招”,受到严重影响。而据俄罗斯RT新闻网报道,最新的数据统计显示,全球范围内已有超过10万台电脑被攻击。
英国NHS系统遭到此病毒攻击图据《每日邮报》
但就在这场损伤巨大的全球“浩劫”中,一位“意外的英雄”横空出世——署名为MalwareTech的一名英国信息安全研究员,将该病毒中隐藏的“删除开关”找了出来,成功阻止了该病毒在全球的传播扩散。
今天下午,红星新闻记者对其进行了采访,揭秘了MalwareTech是如何利用几美元,就成功阻止了一场病毒继续在全球范围内传播的灾难。
拒付赎金“600美元,不如重新买台电脑”据国外媒体报道,这种勒索病毒名为WannaCry(及其变种)。被感染后,用户电脑中的文件等会被加密锁定,并提示受害者支付一定价值的比特币赎金才可解锁。而据红星新闻记者了解到的情况,受害者们被勒索的赎金金额并不相同,有的为300美元,有的则为600美元。
在宁波大学城乡规划专业读大二的许强(化名)就是该病毒的受害者之一。他告诉红星新闻记者,今早起床时,他在手机上看到了相关新闻,为了以防万一,他还特意拿出了有段时间未曾使用的U盘,准备对电脑文档进行备份。但开机之后,电脑屏幕上弹出勒索窗口却让他彻底傻眼。
许强电脑上弹出的勒索窗口受访者供图“我都没有联网。”
对于电脑的“中招”,许强表示十分不解。
许强告诉记者,网页上面的中文勒索称,“最好3天之内付款,过了3天费用就会翻倍,一个礼拜之内未付款,将会永远恢复不了,”对此,许强坚定表示,自己是不会给黑客赎金的。
“600美元(约合4138元人民币),还不如去重新买台电脑。”许强说,他将重装电脑系统。
红星新闻记者通过调查发现,和许强一样的人并不在少数。在一个QQ群里,记者发现有许多刚入群的新人们纷纷吐槽,自己的电脑也“中招”了,正在重装系统,或寻求解决办法。目前,这个群的成员还在不断增加。
而卡巴斯基实验室在向包括红星新闻在内的媒体所提供的关于此事的评论中这样写道:
“该勒索软件可以通过一种Windows漏洞感染受害者,微软公司已经在微软公告MS17-010中修复了这一漏洞。这种名为‘永恒之蓝’(Eternal
Blue)的漏洞,于4月14日在Shadowsbroker黑客组织的信息中被披露。”
还有一些专家则表示,该漏洞最早其实是被美国国安局(NSA)发现的,但其研发的相关工具被Shadowsbroker窃取利用。
意外英雄
发现病毒软件中隐藏“删除开关”
署名为MalwareTech的英国研究员告诉红星新闻记者,其实在这场全球“浩劫”刚开始时,他就已经从英国的一个留言板上得到了消息。但不巧的是,他当时正在外面。
“等我回家后,我在WannaCry病毒中发现了一个未注册的域名,并因此决定注册该域名,以便追踪这一病毒。”
为此,MalwareTech花了10.69美元的费用注册购买了这一域名。
▲MalwareTech向美国《纽约时报》提供的全球电脑被勒索软件攻击图片图据《纽约时报》
事实上,MalwareTech找到的,就是该病毒中隐藏的“删除开关”。
“后来在一些分析员的帮助下,我们终于确认,在注册了这一域名后,这一感染停止了。”
而在接受英国《卫报》采访时,MalwareTech则表示,在上线后,该域名接收到每秒数千次的连接请求。
而这又意味着什么呢?
MalwareTech向红星新闻记者解释说,通常情况下,他们经常采用这种方式来追踪恶意病毒软件,“或者用来阻止犯罪分子控制该病毒”。也就是说,在注册该域名后,他将拥有WannaCry病毒的运行权。
这一“开关”被编码隐藏在恶意软件中,如果恶意软件的制造者希望停止该病毒的传播,那么只要激活这一开关即可。这里的开关机制为,该恶意软件将会向任何网站,包括这个非常长的毫无感官意义的域名网站发送请求,而一旦该请求得到回应,就意味着该域名上线,“删除开关”就会生效,恶意软件也会停止传播。
为时已晚
欧洲、亚洲已来不及抢救美国还有时间
来自Proofpoint安全公司的瑞安说:
“他们(MalwareTech和其他同事)今天得到了意外英雄奖。他们根本没有意识到,这一举动对延缓勒索病毒的传播起到了多么巨大的作用。”
对于“意外英雄”这样的头衔,MalwareTech并没有排斥。他说,“我们也是直到12日晚上6点才意识到发生了什么,但它确实有效。”
▲MalwareTech今早发推:“坦白说在注册域名时,我也不知道这能够阻止其传播,直到注册后我才发现,所以这纯属意外。”
推特截图
不过瑞安也表示,MalwareTech注册该域名的时机太晚,已经无法阻止该病毒传播至欧洲和亚洲,以致于众多组织和机构被感染。但这却给众多美国用户争取到了时间,使他们可以紧急对系统升级补丁,避免感染病毒。
但遗憾的是,这一“删除开关”对于已经感染了该病毒的电脑无能为力。
MalwareTech告诉红星新闻记者,他的域名上线后,部分电脑可能还会被感染,“不过加密的情况不会发生。”但仍不排除该病毒可能会有其他变种,而且拥有完全不同的“删除开关”。所以,这种病毒可能还会继续传播。
“不过WannaCry这一版本不会再奏效了。”
令MalwareTech略为担心的是,虽然这个病毒版本已经失效,“但他们(背后的制作者)可能还会制造出更多的病毒。”
虽然做出了如此“壮举”,但MalwareTech却告诉红星新闻记者,事实上他本人在这一领域仅工作了一年之久,不过作为一项爱好,他已经做了有10年了。
0
