當心：勒索病毒WannaCry仍然潛藏在世界各地的電腦上

12月27日下午訊息，據臺灣地區科技媒體iThome報導，安全公司Kryptos Logic中負責安全與威脅情報研究的Jamie Hankins上週在Twitter上表示，造成全球重大經濟損失的勒索病毒WannaCry，至今仍然潛藏在世界各地的電腦上。

WannaCry利用EternalBlue攻擊工具對微軟Windows作業系統的伺服器資訊區塊（SMB）漏洞展開攻擊，而EternalBlue為美國國家安全域性（NSA）所開發。

2017年5月12日，WannaCry在歐洲市場率先發難，加密被黑電腦上的檔案並勒索贖金，並能主動偵測及入侵網路上其他有漏洞的裝置，因此在短短的兩天內，便在全球超過150個國家迅速感染了數十萬臺電腦。此外，今年造成臺積電大當機的元凶也是WannaCry的變種。

減緩WannaCry肆虐的主要功臣是安全公司Kryptos Logic的研究人員Marcus Hutchins，他發現了WannaCry的勒索元件有一個“銷燬”機制，即WannaCry會連至一個網路域名。如果WannaCry未發現該域名則加密電腦檔案。換而言之，如果WannaCry連線到了該網路域名，則不會加密受感染電腦上的檔案。

幸運的是，該域名竟然沒人註冊，隨後Hutchins便註冊了該域名，維持該域名的運作，成功阻止了WannaCry的勒索能力。

目前此一用來支撐“銷燬”機制的域名由Cloudflare負責維護，有鑑於那些已感染WannaCry的電腦還是會定期連線到“銷燬”域名，這讓Kryptos Logic得以持續觀察感染情況。

根據Jamie Hankins12月21日在Twitter上張貼的資料，他們當天的前24小時偵測到184個國家的22萬個獨立IP超過270萬次連結到該“銷燬”域名，前一週則有來自194個國家的63萬個獨立IP超過1700萬次連結到該“銷燬”域名。

不過，Hankins也說明這些獨立IP無法代表實際的感染數量，只是這樣的流量仍然很驚人。前五大流量來自中國、印尼、越南、印度及俄羅斯。

依然潛伏在電腦中的WannaCry還是有爆發的風險，例如一旦網路斷線，或是無法連線“銷燬”域名，WannaCry的勒索元件就會再度執行。

企業或者使用者可通過Kryptos Logic免費提供的Telltale服務來偵測電腦上包括WannaCry在內的安全威脅。

來源：新浪網

宣告：本網站所提供的資訊僅供參考之用，並不代表本網站贊同其觀點，也不代表本網站對其真實性負責。