勒索病毒已停止攻击？总开关竟然是此域名

具国外消息证实，席卷全球的勒索病毒WannaCry，在5月13日晚间被互联网安全人员找到阻止其传播的方法。

5 月 12 日席卷全球的WannaCrypt(永恒之蓝)勒索蠕虫攻击已经停下攻击的脚步。原因是安全人员分析了其行为，发现病毒会尝试对一个 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的域名执行HTTP GET请求操作，如果DNS解析失败，它会继续进行感染操作，如果解析成功，该程序将会结束。

病毒利用了ETERNALBLUE SMB 漏洞进行勒索软件的传播和感染，其中样本开始就连接了域名http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com测试网络连通性，如果能连通，则直接退出，如果不能连通，则继续后续行为。使用此种方式，可以在攻击者想要停止攻击时，即采用将未注册的域名进行注册的方式，停止此样本的进一步扩散。目前该域名被一位国外安全人员注册。安全人员分析该病毒通过创建服务启动，每次开机都会自动启动。

该病毒通过分别扫描内网和外网的IP，开始进程蠕虫传播感染。对公网随机ip地址445端口进行扫描感染。对于局域网，则直接扫描当前计算机所在的网段进行感染。感染过程，尝试连接445端口。如果连接成功，则对该地址尝试进行漏洞攻击感染。

这个域名相当于一个停止开关，中招的机器软件在发作前如果能访问到这个域名，则不会发作;但是发作后的已经受到影响的计算机，由于内网机器访问不到会继续发作，因为其他原因访问不到的这个域名的也会继续发作。目前这一消息也得到国内猎豹移动安全专家李铁军和安天实验室的证实。

如果想要破解病毒的攻击，可以尝试让计算机联网到互联网，并且能够正常访问该域名，国内由于众所周知的原因，部分电脑可能无法访问该域名，可以使用第三方软件解析dns。到目前为止，病毒作者为何设置了这一停止条件依然未知。此次勒索事件与以往相比最大的特点在于，勒索病毒结合了蠕虫的方式进行传播，传播方式采用了前不久NSA被泄漏出来的MS17- 010 漏洞。在NSA泄漏的文件中，WannaCry传播方式的漏洞利用代码被称为“EternalBlue”，所以也有的报道称此次攻击为“永恒之蓝”。

MS17- 010 漏洞指的是，攻击者利用该漏洞，向用户机器的 445 端口发送精心设计的网络数据包文，实现远程代码执行。如果用户电脑开启防火墙，也会阻止电脑接收 445 端口的数据。但是在中国高校内，同学之间为了打局域网游戏，有时需要关闭防火墙，这也是此次事件在中国高校内大肆传播的原因。

对于如何防范的问题，由于该病毒利用Windows系统远程漏洞进行传播，是此次勒索软件的一大特点，也是在高校爆发的根本原因，所以开启防火墙是简单直接的方法。另外可以通过关闭445端口阻止病毒的进一步攻击，具体关闭办法可以参考http://news.chinabyte.com/hot/248/14161248.shtml或者https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

本文由“拍星星”发布，2017年5月15日