駭人太多反被駭?WannaCry勒索軟體遭破解反被阻擋感染散播

一名住在英國的匿名網路資安研究員,在安全廠商Proofpoint員工Darien Huss的幫助下,成功的在WannaCry勒索軟體中找到阻擋或啟動散播動作的開關,並瞬間阻止了WannaCry的散播。

全球於週五時間遭到WannaCry勒索軟體大規模爆發,導致如FedEx、Telefónica等公司業務中斷,甚至英國國民保健署也因為遭到大規模感染,X光、檢驗結果與病歷紀錄等資料都被加密鎖住,連電話都沒辦法用。

但事情往往比電影還要神奇,當全球(尤其是歐洲與亞洲)的電腦與網路遭受到勒索軟體無情肆虐時,一名住在英國的匿名網路資安研究員,在安全廠商Proofpoint員工Darien Huss的幫助下,成功的在WannaCry勒索軟體中找到阻擋或啟動散播動作的開關,並瞬間阻止了WannaCry的散播。

該匿名資安研究員自稱為MalwareTech,是一名與家人同住在英國西南部的22歲青年,在Kryptos logic工作,是一家位於洛杉磯的資安威脅情報公司。

「我和朋友出門吃個午飯,大概3點多回來的時候,就看到NHS及數家英國公司遭到攻擊的新聞,」他說:「因此我嘗試著深入檢查勒索軟體的樣本,發現裡面有個惡意程式,會秘密連向一個特定的網址(domain),而且該網址沒有被任何人登記註冊,於是我就順手註冊下來,並不知道會發生什麼事情。」

該網址其實寫死在惡意程式中,是一個軟體作者拿來控制是否散播惡意軟體的開關。該網址是一連串無意義的長文字,每個被散播出去的惡意軟體都會嘗試連一下該網址,如果該網址生效正常運作,則惡意軟體將會自動停止散播。註冊該網址花了10.69美元,並且立刻每秒鐘有上千筆查詢流量。

MalwareTech表示他之所以會註冊這個網址,是因為他的公司向來都會註冊這些惡意軟體所用的網址,以便於第一時間得到這些botnet(殭屍網路)的最新動向。「目的是用來監控這些惡意流量,並保留日後處理的空間。但這次我們卻因為註冊了個網址,意外中斷了惡意軟體的感染散播。」

「起初,有人回報說我們註冊了網址引發了感染散播,這讓我小小驚慌了一下,直到我們發現註冊了那個秘密網址反而阻擋了感染散播。」他說。

他表示將繼續保留並觀察該網址的流量,並且與同事將繼續蒐集所有連線進來的IP,並將他們導引至執法機關,藉此提醒受害者他們已經被感染了。

他也提出呼籲提醒所有人儘快安裝修補更新,「這事情還沒有完結,攻擊者將很快發現我們是如何阻擋惡意軟體散播,他們只需要修改程式碼便可再次啟動攻擊。最好的作法就是趕緊更新Windows作業系統。」

WannaCry所使用的惡意程式,是今年4月14被一個名為Shadow Brokers的團體聲稱於去年自美國國家安全局(National Security Agency, NSA)所偷出來的「數位武器」。

參考資訊:阻擋WannaCry感染散播的完整過程

Source: theGuardian

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416