勒索软件被专家暂时阻止，但是隐患犹在

WannaCry（又称为 WanaCrypt0r 2.0）是一款电脑勒索病毒，通过电子邮件传播。该病毒会加密用户的数据，然后要求用户付款作为解锁数据的交换。从 2017 年 5 月 12 日开始，该病毒攻击了包括西班牙、英国、意大利、俄罗斯、中国在内的众多国家。据《卫报》报道，在西班牙，包括电信公司Telefónica 在内的许多大公司都被感染。在英国，国民健康服务体系（NHS）因为受到攻击而运营中断，X 光检查无法进行，检查结果和病历无法访问。

但是，病毒传播突然停止了，因为网络安全研究人员 @malwaretechblog 在 Darien Huss （来自安全公司 Proofpoint）的帮助下无意间发现并激活了恶意软件中的 Kill Switch。他在接受采访时说：

我中午和朋友出去吃饭，在大约 3 点回来的时候，我看到网上突然出现了大量有关 NHS 和多个 UK 组织遭到攻击的新闻。我大致了解了一下，然后找到了一个恶意软件样本，我发现它正在连接一个特定的域名，那个域名并没有被注册。所以，我是无意间发现的，我那会并不知道它在做什么。

为了防止创建者想要阻止病毒传播，Kill Switch 被硬编码在恶意软件中。其中包括一个非常长的、没有意义的域名，恶意软件会向它发送请求，如果请求返回，则表明域名是活的，Kill Switch 就会发挥作用，而恶意软件就会停止传播。一经注册，该域名每秒就登记成千上万的连接。

按照 MalwareTech 的说法，他之所以购买这个域名，是因为他的公司追踪僵尸网络，通过注册这些域名，他们可以深入了解僵尸网络如何扩散。他说，“我的初衷只是监控其传播，看看我们后续是否可以做点相关的工作。但我们竟然通过注册这个域名阻止了传播。”但他很快就意识到“我们还需要阻止其他的攻击方法”。他计划继续持有该 URL，和他的同事一起收集 IP，并发送给执法机关，由他们通知被感染的受害者，因为并不是所有被感染的人都知道自己被感染了。同时，他建议人们升级系统，并补充说：

这事还没完。攻击者会意识到我们如何阻止了它的传播，他们会修改代码，然后重新开始。务必启用 Windows 升级功能，升级然后重启。

来自 Proofpoint 的 Ryan Kalember 表示，@malwaretechblog 注册这个域名太晚了，没能帮助欧洲和亚洲，因为许多组织已经被感染了。Kill Switch 并不能帮助那些已经被勒索软件感染的计算机。但是，他让美国人有更多的时间在被感染之前升级他们的系统，提高防护能力。另外，可能会有包含不同 Kill Switch 的恶意软件变种继续传播。

针对 WannaCrypt 攻击，微软专门发布了一份用户指南。该指南详细说明了个人和企业应该采取的防护步骤。此外，为了保护仅有用户支持服务的Windows 平台（其中包括Windows XP、Windows 8 和Windows Server 2003），他们向这些平台的用户提供了安全升级补丁。按照微软的说法，运行Windows 10 的用户目前还不是攻击目标。

3 月份的时候，微软发布了一个安全升级补丁，用于消除这些攻击利用的漏洞。已经启用 Windows 升级功能的用户可以抵御针对这个漏洞的攻击。微软建议，那些没有应用安全升级补丁的组织应该立即部署 Microsoft Security Bulletin MS17-010 。对于使用 Windows Defender 的用户，微软发布了一个可以检测到 Ransom:Win32/WannaCrypt 威胁的补丁。另外，微软提醒用户：

攻击类型可能会随时间进化，因此，任何额外的深度防护策略都会提供额外的防护。（例如，为了进一步抵御 SMBv1 攻击，用户应该考虑阻断他们网络中的遗留协议）。

……

已经观察到的部分攻击使用了常见的钓鱼式攻击策略，包括恶意附件。用户在打开来自不受信任或未知来源的文档时要保持警惕。对于 Office 365 用户，我们会继续监控和升级，以抵御这类威胁。

要了解有关该恶意软件的更多信息，可以登录微软恶意软件防护中心。

感谢木环对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们。