5月12日晚爆发的讹诈病毒扰乱了全球网络,让企业和机构用户面临风险。统计显示,目前世界上有100多个国家和地区受到敲诈病毒的影响,据估计,全世界有10多万台计算机受到感染。截至5月13日19: 00,中国已有28,388家机构被感染。然而,幸运的是,勒索病毒的持续传播已经被扑灭。
根据@ UK发布的消息:
一名英国网络安全人员整夜分析,发现了病毒作者留下的后门。他花了几十美元来阻止整个网络风暴的蔓延。
当攻击大规模爆发时,来自世界各地的安全人员立即开始分析病毒样本。这其中包括一名外国安全人员,他分析了病毒的代码,发现在代码的开头,有一个看似手摇键盘式的特殊域名地址:
与此同时,世界另一端的思科网络安全人员也发现了这个域名。通过分析,他们发现在昨天之前网络上没有这个域名。从昨天开始,这个域名的访问量飙升,达到每小时1400次的高峰。
在发现这个域名后,外国网络安全人员像往常一样进行了搜索,发现该域名的地址尚未注册。出于职业习惯,他花了几十美元,简单地注册了域名。注册成功后,他发现这个域名与世界上几乎每个国家的电脑都有联系。
那时,他不知道发生了什么事。直到后来,他才发现他当时的临时注册是一项伟大的成就。
后来,随着对病毒代码的进一步分析,人们发现这个域名看起来像是病毒作者为了防止事情失控而留下的紧急停止开关。
在代码中,安全人员发现了这个语句
这段代码的逻辑是这样写的:访问这个域名,如果这个域名存在,那么退出一切。另一方面,如果域名不存在,则继续攻击。
换句话说,每台被感染的机器都会在攻击之前提前访问这个域名。如果这个域名仍然不存在,它将继续蔓延。如果它已经被注册,无论是由病毒作者本人还是其他人,那么就停止传播。
有了这样一个简单的域名,网络安全人员的意外注册触发了病毒作者留下的紧急停止开关。
事件发生后,这名安全官员在推特上调侃道:“坦白地说,直到我注册了这个域名,我才知道他能阻止病毒的传播。这一发现完全出乎意料。因此,在未来,我可能会在简历中添加“意外防止全球网络攻击”。
后来,他开发了一个基于域名访问信息的攻击地图:地图上的每个蓝点不仅代表一台感染了病毒的机器,还代表一台访问了域名并决定停止攻击其他计算机的机器。
如果安全人员没有找到这样一个紧急停止开关,其中的每个蓝点都将继续攻击同一网络中的其他计算机,并成为更多机器被入侵的源头,后果不堪设想。
尽管我们对被感染的机器无能为力,但这种紧急停止开关的发现已经防止了进一步大规模爆发的可能性。病毒可能很快引入变体,绕过域名或采用其他域名,紧急停止开关可能会失败。然而,这一宝贵的举措赢得了时间,普遍提高了人们的安全意识,并修补了它。影响将大大降低。