12日,在德国开姆尼茨,一处电子时刻表遭病毒攻击无法工作。新华/法新
MalwareTech向美国《纽约时报》提供的被勒索软件“想哭”攻击的全球电脑分布图。
这款病毒源自上月遭泄密的美国国家安全局(NSA)病毒武器库。不过,这种软件并非没有弱点,英国一名年轻的网络工程师13日“无意”中暂时阻拦了勒索软件的疯狂传播。
一个不存在的网址
英国媒体13日报道,一名22岁的英国网络工程师12日晚注意到,勒索软件“想哭”正不断尝试进入一个极其特殊、尚不存在的网址,于是他顺手花8.5英镑(约合75元人民币)注册了这个域名,试图借此网址获取勒索软件的相关数据,了解传播范围。令人不可思议的是,此后“想哭”在全球的进一步蔓延竟然得到了阻拦。
他和同事分析,这个奇怪的网址很可能是“想哭”开发者为避免被网络安全人员捕获所设定的“检查站”,而注册网址的行为无意间触发了程序自带的“自杀开关”。也就是说,“想哭”在每次发作前都要访问这个不存在的网址,如果网址继续不存在,说明“想哭”尚未引起安全人员注意,可以继续在网络上畅行无阻;而一旦网址存在,意味着软件有被拦截并分析的可能。在这种情况下,为避免被网络安全人员获得更多数据甚至反过来加以控制,勒索软件会停止传播。
这位年轻人在推特上发帖说:“我坦白,在我注册这个域名之前,完全不知道它能停止这次恶意软件的传播。事情的开始完全是个意外!”不过,他和一些网络安全专家都表示,这种方法目前只是暂时阻止了“想哭”的进一步发作和传播,但帮不了那些已经中招的用户,也并非彻底破解这种勒索软件,新版本的“想哭”很可能不带这种“自杀开关”而卷土重来,用户应尽快更新电脑系统的安全补丁。
一种叫“想哭”的病毒
“想哭”病毒属于一种勒索软件。电脑用户会收到一封打着工作邀约、发货清单、安全警告等幌子的电子邮件,一旦打开相关链接就会导致电脑中招。勒索软件随即对电脑储存的文件进行加密,使用户无法打开。电脑屏幕上弹出警告语:“你或许会试图夺回文件,还是别浪费时间了!”接着,电脑提示用户在规定期限内支付300美元赎金,便可恢复电脑资料;每耽搁数小时,赎金就会上涨一些,最高涨至600美元。目前,尚未有黑客组织认领这次袭击。
多家网络安全企业认定,“想哭”源自几周前遭泄密的美国国家安全局(NSA)病毒武器库。路透社援引美国联邦政府公布的数据以及情报部门官员的话报道,美国网络项目开支的90%用于研发黑客攻击武器。面对外界批评,美国国安局尚未作出回应。
一个“永恒之蓝”漏洞
美国微软公司12日宣布采取非同寻常的安防措施,针对攻击所利用的“视窗”操作系统漏洞,为一些它已停止服务的“视窗”平台提供补丁。网络安全专家说,这种勒索软件利用了“视窗”的一个名为“永恒之蓝”的漏洞。
微软安全响应中心在官方博客中就这次网络攻击公布客户指南说,微软正在采取所有可能的行动保护客户。微软表示,已在3月发布了安全补丁,修复上述漏洞。运行了这一补丁的用户可免受利用该漏洞的网络攻击,尚未安装这一补丁的用户应立即行动。对于使用“视窗”所附杀毒软件Windows Defender的用户,微软在12日早些时候发布了一个针对这次网络攻击的安全补丁。
微软说,有些用户还在使用微软已不再提供技术支持的“视窗”版本,这意味着这些用户不能获取微软在3月发布的补丁。鉴于用户可能受到的潜在影响,微软决定向这些“视窗”平台提供3月发布的补丁,包括“视窗XP”、“视窗8”和“视窗”服务器2003在内的用户可下载这款补丁。微软说,运行“视窗10”的用户不是12日勒索软件攻击的目标。 据新华社
【PDF版】
