【e-zone 專訊】英國傳來消息,一位22歲的網絡保安專家,在偶然情況下停止了近日影響全球近 100 個國家的網絡勒索程式 WannaCry 的傳播,只透過一個域名登記的作業,這位保安專家就停止了這宗事故,連他自己在網誌內都坦言有點意想不到。
其實透過登記殭屍病毒或其他入侵並不少見,這位在經營 MalewareTech 網站的專家指出,以往都曾經登記過上千域名來阻檔入侵程式、殭屍網絡的運作,再將被入侵者的流量轉到登記者的伺服器,以阻止黑客持續運作。
【相關報道】
【相關報道】
轉移域名位址
之後資安專家一般會再透過這方法了解病毒的分布情況,再透過對病毒樣本尋找源頭及運作病毒網絡的域名主機。這位專家指出,今次網絡勒索程式WannaCry其實亦是用同樣方式,當他從朋友那邊取得病毒樣本,發現了病毒都會轉到一個長域名運作,但該域名並無登記,他便即時對域名作出登記,事件就是這樣開始。
事實當然不這麼簡單,該專家在網文中坦言,這個星期他本來是休假的,但就花了 4 天時間去處理這件事,當得知病毒運作模式後,他還要反覆測試自己的結論是否正確,最後,他強調,雖然已停止了網絡勒索程式WannaCry運作,但被入侵的資料已不能救回,大家還是盡快升級電腦好了。
變招再攻擊
以上的方法,可能是黑客留下的銷毀開關(Kill Switch),等同急煞車掣。然而,有消息指,第二波新版 WannaCry 2.0 很有可能已出現,因為黑客本身只要重整被域名轉移而煞停的程式部分,或索性取消Kill Switch,新一輪攻擊隨時又可以隨時開始。因此,用戶還是著手加裝 Microsoft 的 Patch 來堵塞安全漏洞,詳細方法請按此。
Source : MalewareTech.com