英国专家破译勒索病毒代码:发现用域名控制的“自毁开关”

摘要:

爆发于5月12日晚间的勒索病毒搅乱了全球网络,也让企业及机构用户人人自危。统计数据显示,目前全球100多个国家和地区都被勒索病毒所影响,估计全球已有超过10万台电脑被感染。其中,截止5月13日19点,中国已有28388家机构被感染。不过,幸运的是,勒索病毒继续蔓延的势头已经被扑灭。

http://static.cnbetacdn.com/article/2017/0514/bd83af1e8b45f9b.jpg

http://static.cnbetacdn.com/article/2017/0514/57e3020cd0bf0fd.jpg

据 @英国那些事儿 发布消息:

一个英国网络安全人员通宵分析,意外的发现了病毒作者留给自己的后门。他花了几十块钱,一瞬之间,阻止了整场网络风暴的继续传播。

当这次攻击大规模爆发后,世界各国的安全人员,立马开始了对病毒样本的分析。这其中就有一个国外安全人员,他分析了病毒的代码,发现在代码的一开始,有一个看似手滚键盘打出来的特殊的域名地址:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

同时,地球另一端思科的网络安全人员也发现了这个域名。通过分析他们发现,在昨天之前,网络上完全没有针对这个域名的访问。而昨天开始,这个域名的访问量激增,峰值达到了每小时1400多次。

发现这个域名之后,那个国外网络安全人员照例搜索了一下,发现那个域名地址并没有被注册。出于职业习惯,他花了几十块钱,干脆顺手把那个域名注册了一下。注册成功后,一瞬之间,他发现这个域名接到了几乎全世界各个国家的电脑的连接。

当时,他自己不知道发生了什么。事后才发现,他当时这随手的一注册,简直立了大功。

后来,随着对病毒代码的进一步分析人们发现,这个域名,看起来像是病毒作者给自己留的一个紧急停止开关,防止事情失去他自己的控制。

在代码里,安全人员找到了这样的语句..

这个代码的逻辑是这么写的:

访问这个域名

如果 这个域名存在

那么 退出一切

反之如果这个域名不存在

那么 开始继续攻击

也就是说,每一个感染了病毒的机器,在发作之前都会事先访问一下这个域名,如果这个域名依旧不存在,那就继续传播;如果已经被人注册了,无论是被病毒作者本身还是被其他人,那就停止传播。

就这么一个简单的域名,那个网络安全人员无意间的一注册,触发了病毒作者留给自己的紧急停止的开关。

事后,该安全人员在twitter上自嘲道:“我坦白,在我注册这个域名之前,完全不知道他能停止这次病毒的传播。这发现完全意外。所以以后我简历上大概可以加一句‘一不小心阻止了一场全球性的网络攻击’。”

后来,他根据对域名的访问信息,开发出了一个攻击地图:地图上的每一个蓝点,不止代表着一台被感染了病毒的机器,还代表着,这是一台访问了这个域名,决定停止继续攻击的其他电脑的机器。

如果不是安全人员发现了这么一个紧急停止的开关,这其中的每一个蓝点,都有可能继续攻击同一个网络里的其他电脑,都有可能成为更多机器被入侵的来源,后果不堪设想。

虽然对已经被感染的机器无能为力,但是发现这么一个紧急停止开关,已经阻止了进一步大范围爆发的可能。可能很快这个病毒就会推出变种,绕过域名或者采用别的域名,这个紧急停止开关可能会失效。但这个宝贵的动作赢得了时间,让大家安全意识普遍提高,打上补丁,造成的影响将大为减弱。

热门评论

>>共有0条评论,显示0
更多评论
created by ceallan