全球爆發(fā)電腦勒索病毒，“疫情”已波及99個(gè)國家。包括中國、俄羅斯、英國、美國在內(nèi)的眾多國家，都被該病毒攪得雞犬不寧。

除英國國家醫(yī)療服務(wù)體系（NHS）、美國聯(lián)邦快遞、西班牙電信公司外，俄羅斯內(nèi)政部的1000多臺(tái)電腦也紛紛“中招”，受到嚴(yán)重影響。而據(jù)俄羅斯RT新聞網(wǎng)報(bào)道，最新的數(shù)據(jù)統(tǒng)計(jì)顯示，全球范圍內(nèi)已有超過10萬臺(tái)電腦被攻擊。

英國NHS系統(tǒng)遭到此病毒攻擊 圖據(jù)《每日郵報(bào)》

但就在這場(chǎng)損傷巨大的全球“浩劫”中，一位“意外的英雄”橫空出世——署名為MalwareTech的一名英國信息安全研究員，將該病毒中隱藏的“刪除開關(guān)”找了出來，成功阻止了該病毒在全球的傳播擴(kuò)散。

今天下午，紅星新聞?dòng)浾邔?duì)其進(jìn)行了采訪，揭秘了MalwareTech是如何利用幾美元，就成功阻止了一場(chǎng)病毒繼續(xù)在全球范圍內(nèi)傳播的災(zāi)難。

拒付贖金

“600美元，不如重新買臺(tái)電腦”

據(jù)國外媒體報(bào)道，這種勒索病毒名為WannaCry（及其變種）。被感染后，用戶電腦中的文件等會(huì)被加密鎖定，并提示受害者支付一定價(jià)值的比特幣贖金才可解鎖。而據(jù)紅星新聞?dòng)浾吡私獾降那闆r，受害者們被勒索的贖金金額并不相同，有的為300美元，有的則為600美元。

在寧波大學(xué)城鄉(xiāng)規(guī)劃專業(yè)讀大二的許強(qiáng)（化名）就是該病毒的受害者之一。他告訴紅星新聞?dòng)浾?，今早起床時(shí)，他在手機(jī)上看到了相關(guān)新聞，為了以防萬一，他還特意拿出了有段時(shí)間未曾使用的U盤，準(zhǔn)備對(duì)電腦文檔進(jìn)行備份。但開機(jī)之后，電腦屏幕上彈出勒索窗口卻讓他徹底傻眼。

許強(qiáng)電腦上彈出的勒索窗口。受訪者供圖

“我都沒有聯(lián)網(wǎng)。”對(duì)于電腦的“中招”，許強(qiáng)表示十分不解。

許強(qiáng)告訴記者，網(wǎng)頁上面的中文勒索稱，“最好3天之內(nèi)付款，過了3天費(fèi)用就會(huì)翻倍，一個(gè)禮拜之內(nèi)未付款，將會(huì)永遠(yuǎn)恢復(fù)不了，”對(duì)此，許強(qiáng)堅(jiān)定表示，自己是不會(huì)給黑客贖金的。

“600美元（約合4138元人民幣），還不如去重新買臺(tái)電腦。”許強(qiáng)說，他將重裝電腦系統(tǒng)。

紅星新聞?dòng)浾咄ㄟ^調(diào)查發(fā)現(xiàn)，和許強(qiáng)一樣的人并不在少數(shù)。在一個(gè)QQ群里，記者發(fā)現(xiàn)有許多剛?cè)肴旱男氯藗兗娂娡虏?，自己的電腦也“中招”了，正在重裝系統(tǒng)，或?qū)で蠼鉀Q辦法。目前，這個(gè)群的成員還在不斷增加。

而卡巴斯基實(shí)驗(yàn)室在向包括紅星新聞在內(nèi)的媒體所提供的關(guān)于此事的評(píng)論中這樣寫道：

“該勒索軟件可以通過一種Windows漏洞感染受害者，微軟公司已經(jīng)在微軟公告MS17-010中修復(fù)了這一漏洞。這種名為‘永恒之藍(lán)’（Eternal Blue）的漏洞，于4月14日在Shadowsbroker黑客組織的信息中被披露。”

還有一些專家則表示，該漏洞最早其實(shí)是被美國國安局（NSA）發(fā)現(xiàn)的，但其研發(fā)的相關(guān)工具被Shadowsbroker竊取利用。

意外英雄

發(fā)現(xiàn)病毒軟件中隱藏“刪除開關(guān)”

署名為MalwareTech的英國研究員告訴紅星新聞?dòng)浾撸鋵?shí)在這場(chǎng)全球“浩劫”剛開始時(shí)，他就已經(jīng)從英國的一個(gè)留言板上得到了消息。但不巧的是，他當(dāng)時(shí)正在外面。

“等我回家后，我在WannaCry病毒中發(fā)現(xiàn)了一個(gè)未注冊(cè)的域名，并因此決定注冊(cè)該域名，以便追蹤這一病毒。”

為此，MalwareTech花了10.69美元的費(fèi)用注冊(cè)購買了這一域名。

MalwareTech向美國《紐約時(shí)報(bào)》提供的全球電腦被勒索軟件攻擊圖片 圖據(jù)《紐約時(shí)報(bào)》

事實(shí)上，MalwareTech找到的，就是該病毒中隱藏的“刪除開關(guān)”。

“后來在一些分析員的幫助下，我們終于確認(rèn)，在注冊(cè)了這一域名后，這一感染停止了。”

而在接受英國《衛(wèi)報(bào)》采訪時(shí)，MalwareTech則表示，在上線后，該域名接收到每秒數(shù)千次的連接請(qǐng)求。

而這又意味著什么呢？

MalwareTech向紅星新聞?dòng)浾呓忉屨f，通常情況下，他們經(jīng)常采用這種方式來追蹤惡意病毒軟件，“或者用來阻止犯罪分子控制該病毒”。也就是說，在注冊(cè)該域名后，他將擁有WannaCry病毒的運(yùn)行權(quán)。

這一“開關(guān)”被編碼隱藏在惡意軟件中，如果惡意軟件的制造者希望停止該病毒的傳播，那么只要激活這一開關(guān)即可。這里的開關(guān)機(jī)制為，該惡意軟件將會(huì)向任何網(wǎng)站，包括這個(gè)非常長(zhǎng)的毫無感官意義的域名網(wǎng)站發(fā)送請(qǐng)求，而一旦該請(qǐng)求得到回應(yīng)，就意味著該域名上線，“刪除開關(guān)”就會(huì)生效，惡意軟件也會(huì)停止傳播。

為時(shí)已晚

歐洲、亞洲已來不及搶救 美國還有時(shí)間

來自Proofpoint安全公司的瑞安說：

“他們（MalwareTech和其他同事）今天得到了意外英雄獎(jiǎng)。他們根本沒有意識(shí)到，這一舉動(dòng)對(duì)延緩勒索病毒的傳播起到了多么巨大的作用。”

對(duì)于“意外英雄”這樣的頭銜，MalwareTech并沒有排斥。他說，“我們也是直到12日晚上6點(diǎn)才意識(shí)到發(fā)生了什么，但它確實(shí)有效。”

MalwareTech今早發(fā)推：“坦白說在注冊(cè)域名時(shí)，我也不知道這能夠阻止其傳播，直到注冊(cè)后我才發(fā)現(xiàn)，所以這純屬意外。” 推特截圖

不過瑞安也表示，MalwareTech注冊(cè)該域名的時(shí)機(jī)太晚，已經(jīng)無法阻止該病毒傳播至歐洲和亞洲，以致于眾多組織和機(jī)構(gòu)被感染。但這卻給眾多美國用戶爭(zhēng)取到了時(shí)間，使他們可以緊急對(duì)系統(tǒng)升級(jí)補(bǔ)丁，避免感染病毒。

但遺憾的是，這一“刪除開關(guān)”對(duì)于已經(jīng)感染了該病毒的電腦無能為力。

MalwareTech告訴紅星新聞?dòng)浾?，他的域名上線后，部分電腦可能還會(huì)被感染,“不過加密的情況不會(huì)發(fā)生。”但仍不排除該病毒可能會(huì)有其他變種，而且擁有完全不同的“刪除開關(guān)”。所以，這種病毒可能還會(huì)繼續(xù)傳播。

“不過WannaCry這一版本不會(huì)再奏效了。”

令MalwareTech略為擔(dān)心的是，雖然這個(gè)病毒版本已經(jīng)失效，“但他們（背后的制作者）可能還會(huì)制造出更多的病毒。”

雖然做出了如此“壯舉”，但MalwareTech卻告訴紅星新聞?dòng)浾?，事?shí)上他本人在這一領(lǐng)域僅工作了一年之久，不過作為一項(xiàng)愛好，他已經(jīng)做了有10年了。

上一篇：iPhone7如何從iCloud恢復(fù)備份？學(xué)會(huì)這兩招就可以

下一篇：電子數(shù)據(jù)取證在企業(yè)信息風(fēng)險(xiǎn)管控中的應(yīng)用