周五的前所未有的攻击勒索软件可能已经停止蔓延到新机器 - 至少短暂地 - 多亏了“杀死开关”,一个安全研究人员已经激活。
在勒索,称瓦纳解密或WannaCry,已发现感染机器在全球范围内。它的工作原理是利用一个Windows漏洞,美国国家安全局可能已经用于间谍活动。
在PC上,并显示用户的恶意软件加密数据的说明,要求300 $的比特币有自己的数据进行解密。赎金笔记的照片已经流传在Twitter上。安全专家检测到的攻击成千上万,显然散布在局域网和像计算机蠕虫互联网。
然而,勒索软件还包含可能已在其开发者事与愿违,据安全研究人员切断开关。
瓦纳解密通过恶意程序感染系统首先尝试连接到未登记网络域名。切断开关看起来像这样的工作:如果恶意程序无法连接到域,它会与感染进行。如果连接成功,程序将停止攻击。
一名安全研究人员谁的推移名称MalwareTech发现,他可以通过注册网络域名,并在其上张贴页面激活杀死开关。
MalwareTech的初衷是通过它联系域跟踪勒索软件的蔓延。“它曝光,美国的注册域名的副作用停止感染的传播,”他在一封电子邮件中说。
菅直人迈克尔
本想解密勒索的赎金。
安全公司的Malwarebytes与思科的塔洛斯安全组报告同样发现,说新的勒索软件感染似乎已经放缓,因为切断开关被激活。
然而,研究人员的Malwarebytes塞古拉杰罗姆说这是为时过早切断开关是否会停止为好瓦纳解密攻击。他警告说,同样的勒索应变的其他版本可能是在那里,有固定的杀开关问题,或者能够接触其他网络域名。
不幸的是,已经感染瓦纳解密电脑将保持被感染,他说。
一些研究人员最初认为,周五的勒索软件攻击,通过大规模的电子邮件第一展开钓鱼运动。这似乎不再是这种情况。
瓦纳解密器本身是从其他典型勒索菌株没有区别。一旦它感染的PC,它会加密设备上的所有文件,然后要求受害人支付赎金以释放他们。
但不同于其他勒索,瓦纳解密已建成以迅速蔓延。它通过将一个黑客工具,安全研究人员怀疑来自国家安全局来了,是这样做网上泄露上个月。
该黑客工具,被称为EternalBlue,可以很容易地劫持未打补丁的旧的Windows机器。一旦瓦纳解密已经感染了第一台机器,它会试图传播到其他机器在同一本地网络上。然后,它会扫描漏洞的机器上网。
“它创建了一个滚雪球般的效应,”塞古拉说。“几台机器会被感染,那么它会尝试接触更多。”
安全厂商Avast的说,它已发现更多超过75,000个攻击在受灾最严重的国家中99个国家,与俄罗斯,乌克兰和台湾。该英国公司国家卫生服务被勒索打击最大的组织之一。
该勒索软件被设计为工作在许多语言,包括英语,是中国和西班牙,在每个赎金笔记。
塞古拉劝受害者不要支付赎金,因为它鼓励了黑客的攻击。相反,他说,他们应该等待未来几天的安全研究人员研究了勒索软件的编码,并尝试拿出免费的方式来解决的感染。
上周五,微软表示,用户将从勒索,如果他们正在运行该公司的免费杀毒软件来保护或者已经安装了最新的补丁。
这个故事原来的第11段已改为打折第一报道称,勒索软件是通过网络钓鱼电子邮件活动蔓延。原来的第12段被删除。