謝至恩全球於週五時間遭到 WannaCry 勒索軟體大規模爆發,導致如 FedEx 、 Telefónica 等公司業務中斷,甚至英國國民保健署也因為遭到大規模感染,X 光、檢驗結果與病歷紀錄等資料都被加密鎖住,連電話都沒辦法用。
但事情往往比電影還要神奇,當全球(尤其是歐洲與亞洲)的電腦與網路遭受到勒索軟體無情肆虐時,一名住在英國的匿名網路資安研究員,在安全廠商 Proofpoint 員工 Darien Huss 的幫助下,成功的在 WannaCry 勒索軟體中找到阻擋或啟動散播動作的開關,並瞬間阻止了 WannaCry 的散播。
該匿名資安研究員自稱為 MalwareTech,是一名與家人同住在英國西南部的 22 歲青年,在 Kryptos logic 工作,是一家位於洛杉磯的資安威脅情報公司。
「我和朋友出門吃個午飯,大概 3 點多回來的時候,就看到 NHS 及數家英國公司遭到攻擊的新聞,」他說:「因此我嘗試著深入檢查勒索軟體的樣本,發現裡面有個惡意程式,會秘密連向一個特定的網址 (domain),而且該網址沒有被任何人登記註冊,於是我就順手註冊下來,並不知道會發生什麼事情。」
該網址其實寫死在惡意程式中,是一個軟體作者拿來控制是否散播惡意軟體的開關。該網址是一連串無意義的長文字,每個被散播出去的惡意軟體都會嘗試連一下該網址,如果該網址生效正常運作,則惡意軟體將會自動停止散播。註冊該網址花了 10.69 美元,並且立刻每秒鐘有上千筆查詢流量。
MalwareTech 表示他之所以會註冊這個網址,是因為他的公司向來都會註冊這些惡意軟體所用的網址,以便於第一時間得到這些 botnet(殭屍網路)的最新動向。「目的是用來監控這些惡意流量,並保留日後處理的空間。但這次我們卻因為註冊了個網址,意外中斷了惡意軟體的感染散播。」
「起初,有人回報說我們註冊了網址引發了感染散播,這讓我小小驚慌了一下,直到我們發現註冊了那個秘密網址反而阻擋了感染散播。」他說。
他表示將繼續保留並觀察該網址的流量,並且與同事將繼續蒐集所有連線進來的 IP,並將他們導引至執法機關,藉此提醒受害者他們已經被感染了。
他也提出呼籲提醒所有人儘快安裝修補更新,「這事情還沒有完結,攻擊者將很快發現我們是如何阻擋惡意軟體散播,他們只需要修改程式碼便可再次啟動攻擊。最好的作法就是趕緊更新 Windows 作業系統。」
WannaCry 所使用的惡意程式,是今年 4 月 14 被一個名為 Shadow Brokers 的團體聲稱於去年自美國國家安全局 (National Security Agency, NSA) 所偷出來的「數位武器」。
Source: theGuardian