今天早上,幾乎所有人的朋友圈都在流傳著這樣一條消息——
全球爆發電腦勒索病毒,“疫情”已波及99個國家。包括中國、俄羅斯、英國、美國在內的眾多國家,都被該病毒攪得雞犬不寧。
除英國國家醫療服務體系(NHS)、美國聯邦快遞、西班牙電信公司外,俄羅斯內政部的1000多臺電腦也紛紛“中招”,受到嚴重影響。而據俄羅斯RT新聞網報道,最新的數據統計顯示,全球範圍內已有超過10萬臺電腦被攻擊。
▲英國NHS系統遭到此病毒攻擊 圖據《每日郵報》
但就在這場損傷巨大的全球“浩劫”中,一位“意外的英雄”橫空出世——署名為MalwareTech的一名英國信息安全研究員,將該病毒中隱藏的“刪除開關”找了出來,成功阻止了該病毒在全球的傳播擴散。
今天下午,紅星新聞記者對其進行了採訪,揭秘了MalwareTech是如何利用幾美元,就成功阻止了一場病毒繼續在全球範圍內傳播的災難。
拒付贖金
“600美元,不如重新買臺電腦”
據國外媒體報道,這種勒索病毒名為WannaCry(及其變種)。被感染後,用戶電腦中的文件等會被加密鎖定,並提示受害者支付一定價值的比特幣贖金才可解鎖。而據紅星新聞記者瞭解到的情況,受害者們被勒索的贖金金額並不相同,有的為300美元,有的則為600美元。
在寧波大學城鄉規劃專業讀大二的許強(化名)就是該病毒的受害者之一。他告訴紅星新聞記者,今早起床時,他在手機上看到了相關新聞,為了以防萬一,他還特意拿出了有段時間未曾使用的U盤,準備對電腦文檔進行備份。但開機之後,電腦屏幕上彈出勒索窗口卻讓他徹底傻眼。
▲許強電腦上彈出的勒索窗口 受訪者供圖
“我都沒有聯網。”
對於電腦的“中招”,許強表示十分不解。
許強告訴記者,網頁上面的中文勒索稱,“最好3天之內付款,過了3天費用就會翻倍,一個禮拜之內未付款,將會永遠恢復不了,”對此,許強堅定表示,自己是不會給黑客贖金的。
“600美元(約合4138元人民幣),還不如去重新買臺電腦。”許強說,他將重裝電腦系統。
紅星新聞記者通過調查發現,和許強一樣的人並不在少數。在一個QQ群裡,記者發現有許多剛入群的新人們紛紛吐槽,自己的電腦也“中招”了,正在重裝系統,或尋求解決辦法。目前,這個群的成員還在不斷增加。
而卡巴斯基實驗室在向包括紅星新聞在內的媒體所提供的關於此事的評論中這樣寫道:
“該勒索軟件可以通過一種Windows漏洞感染受害者,微軟公司已經在微軟公告MS17-010中修復了這一漏洞。這種名為‘永恆之藍’(Eternal Blue)的漏洞,於4月14日在Shadowsbroker黑客組織的信息中被披露。”
還有一些專家則表示,該漏洞最早其實是被美國國安局(NSA)發現的,但其研發的相關工具被Shadowsbroker竊取利用。
意外英雄
發現病毒軟件中隱藏“刪除開關”
署名為MalwareTech的英國研究員告訴紅星新聞記者,其實在這場全球“浩劫”剛開始時,他就已經從英國的一個留言板上得到了消息。但不巧的是,他當時正在外面。
“等我回家後,我在WannaCry病毒中發現了一個未註冊的域名,並因此決定註冊該域名,以便追蹤這一病毒。”
為此,MalwareTech花了10.69美元的費用註冊購買了這一域名。
▲MalwareTech向美國《紐約時報》提供的全球電腦被勒索軟件攻擊圖片 圖據《紐約時報》
事實上,MalwareTech找到的,就是該病毒中隱藏的“刪除開關”。
“後來在一些分析員的幫助下,我們終於確認,在註冊了這一域名後,這一感染停止了。”
而在接受英國《衛報》採訪時,MalwareTech則表示,在上線後,該域名接收到每秒數千次的連接請求。
而這又意味著什麼呢?
MalwareTech向紅星新聞記者解釋說,通常情況下,他們經常採用這種方式來追蹤惡意病毒軟件,“或者用來阻止犯罪分子控制該病毒”。也就是說,在註冊該域名後,他將擁有WannaCry病毒的運行權。
這一“開關”被編碼隱藏在惡意軟件中,如果惡意軟件的製造者希望停止該病毒的傳播,那麼只要激活這一開關即可。這裡的開關機制為,該惡意軟件將會向任何網站,包括這個非常長的毫無感官意義的域名網站發送請求,而一旦該請求得到回應,就意味著該域名上線,“刪除開關”就會生效,惡意軟件也會停止傳播。
為時已晚
歐洲、亞洲已來不及搶救 美國還有時間
來自Proofpoint安全公司的瑞安說:
“他們(MalwareTech和其他同事)今天得到了意外英雄獎。他們根本沒有意識到,這一舉動對延緩勒索病毒的傳播起到了多麼巨大的作用。”
對於“意外英雄”這樣的頭銜,MalwareTech並沒有排斥。他說,“我們也是直到12日晚上6點才意識到發生了什麼,但它確實有效。”
▲MalwareTech今早發推:“坦白說在註冊域名時,我也不知道這能夠阻止其傳播,直到註冊後我才發
不過瑞安也表示,MalwareTech註冊該域名的時機太晚,已經無法阻止該病毒傳播至歐洲和亞洲,以致於眾多組織和機構被感染。但這卻給眾多美國用戶爭取到了時間,使他們可以緊急對系統升級補丁,避免感染病毒。
但遺憾的是,這一“刪除開關”對於已經感染了該病毒的電腦無能為力。
MalwareTech告訴紅星新聞記者,他的域名上線後,部分電腦可能還會被感染,“不過加密的情況不會發生。”但仍不排除該病毒可能會有其他變種,而且擁有完全不同的“刪除開關”。所以,這種病毒可能還會繼續傳播。
“不過WannaCry這一版本不會再奏效了。”
令MalwareTech略為擔心的是,雖然這個病毒版本已經失效,“但他們(背後的製作者)可能還會製造出更多的病毒。”
雖然做出瞭如此“壯舉”,但MalwareTech卻告訴紅星新聞記者,事實上他本人在這一領域僅工作了一年之久,不過作為一項愛好,他已經做了有10年了。
紅星新聞記者丨王雅林
閱讀更多 紅星新聞 的文章
