WannaCry 勒索軟件於 2 日內造成造成 99 個國家,超過 20 萬台電腦受感染。昨日一位 MalwareTech 發現病毒中的 Kill Switch 並企圖暫停擴散。歡樂時光總是短暫,新版本的 WannaCry 已經「修正」了這個問題。
簡單來說 WannaCry 分兩個步驟感染,第一是加密你電腦內的檔案,第二是找尋你接駁網絡內所有電腦去傳播。昨日一位 MalwareTech 研究者發現了病毒中在傳播前,會檢查一個無義意的亂數網站是否有回應,如有回應便停止傳播。
說到這裡先解構一下為何病毒會設置 Kill Switch 自我毁滅開關,當然不是為了最後的良心,而是用來逃避防毒軟件的分析。防毒軟件為擬似是病毒的檔案,設置了一個虛擬的運作環境,這個環境會阻擋此病毒的任何的網絡連線,但同時會製造假回應讓病毒以為成功連接,引它出手攻擊。
Wannacry 的自我毁滅開關就是用來檢測是否處於一個防毒軟件下的虛擬環境中,本應以上的域名是沒有人注冊,因此不會得到任何 DNS 回應,但若果在防毒虛擬環境下反為會有回應,因此若 Wannacry 知道了是防毒軟件下的環境,會停止動作以免被偵測殺掉,並在電腦上等待其他機會。
因此研究者意外發現那個 Kill Switch 網站域名未被注冊,所以花了 10.69 美金購下然後架設上線。上線後每秒收到過千個連線請求,暫停了最新一波的傳播。
看來是個好消息,但事實上卻未對災情有大幫助。 因為病毒不是這兩天才「感染」,而是一早潛服然後這兩天才「發病」,再者這 Kill Switch 到已感染的電腦毫無幫助,一樣會照加密檔案。
這開心新聞在網上瘋傳,也許讓開發者早一步發現問題所在並立即修改病毒碼再推出,卡巴斯基實驗室全球研究與分析團體總監 Costin Raiu 向外媒證實,沒有 Kill Switch 的「完美版」 WannaCry 已經來到。
因此第二波的攻擊很快會展開,而且沒有 Kill Switch 下更難阻止擴散。這是一個漏洞鬥快的遊戲,只有用戶意識到問題所在,早日更新修正漏洞才能停止這場災害。 暫時最快的阻擋方法是先由路由器或防火牆阻擋 135 及 445 埠的攻擊,再修正漏洞。
來源 : thehackernews
Leave a Comment