據(jù)臺(tái)灣地區(qū)科技媒體iThome報(bào)道，安全公司Kryptos Logic中負(fù)責(zé)安全與威脅情報(bào)研究的Jamie Hankins上周在Twitter上表示，造成全球重大經(jīng)濟(jì)損失的勒索病毒W(wǎng)annaCry，至今仍然潛藏在世界各地的電腦上。

WannaCry利用EternalBlue攻擊工具對(duì)微軟Windows操作系統(tǒng)的服務(wù)器信息區(qū)塊(SMB)漏洞展開攻擊，而EternalBlue為美國國家安全局(NSA)所開發(fā)。

2017年5月12日，WannaCry在歐洲市場率先發(fā)難，加密被黑電腦上的文件并勒索贖金，并能主動(dòng)偵測及入侵網(wǎng)絡(luò)上其他有漏洞的設(shè)備，因此在短短的兩天內(nèi)，便在全球超過150個(gè)國家迅速感染了數(shù)十萬臺(tái)電腦。此外，今年造成臺(tái)積電大宕機(jī)的元兇也是WannaCry的變種。

減緩WannaCry肆虐的主要功臣是安全公司Kryptos Logic的研究人員Marcus Hutchins，他發(fā)現(xiàn)了WannaCry的勒索元件有一個(gè)“銷毀”機(jī)制，即WannaCry會(huì)連至一個(gè)網(wǎng)絡(luò)域名。如果WannaCry未發(fā)現(xiàn)該域名則加密電腦文件。換而言之，如果WannaCry連接到了該網(wǎng)絡(luò)域名，則不會(huì)加密受感染電腦上的文件。

幸運(yùn)的是，該域名竟然沒人注冊，隨后Hutchins便注冊了該域名，維持該域名的運(yùn)作，成功阻止了WannaCry的勒索能力。

目前此一用來支撐“銷毀”機(jī)制的域名由Cloudflare負(fù)責(zé)維護(hù)，有鑒于那些已感染W(wǎng)annaCry的電腦還是會(huì)定期連接到“銷毀”域名，這讓Kryptos Logic得以持續(xù)觀察感染情況。

根據(jù)Jamie Hankins12月21日在Twitter上張貼的數(shù)據(jù)，他們當(dāng)天的前24小時(shí)偵測到184個(gè)國家的22萬個(gè)獨(dú)立IP超過270萬次連結(jié)到該“銷毀”域名，前一周則有來自194個(gè)國家的63萬個(gè)獨(dú)立IP超過1700萬次連結(jié)到該“銷毀”域名。

不過，Hankins也說明這些獨(dú)立IP無法代表實(shí)際的感染數(shù)量，只是這樣的流量仍然很驚人。前五大流量來自中國、印尼、越南、印度及俄羅斯。

依然潛伏在電腦中的WannaCry還是有爆發(fā)的風(fēng)險(xiǎn)，例如一旦網(wǎng)絡(luò)斷線，或是無法連接“銷毀”域名，WannaCry的勒索元件就會(huì)再度執(zhí)行。

企業(yè)或者用戶可通過Kryptos Logic免費(fèi)提供的Telltale服務(wù)來偵測電腦上包括WannaCry在內(nèi)的安全威脅。