作者ChoDino ()
看板AntiVirus
标题Re: [情报] WannaCry的kill switch 被发现了
时间Sat May 13 14:29:35 2017
先说个结论:
有人发现了方法并停止了病毒的散播,已中奖的目前无解。未中奖的尽快更新,因为病毒
会变种,这方法也许很快就会失效,一失效就会开始扩散。
----
故事开始
Cisco Umbrella 的研究人员发现有个奇怪的网址突然大量的被要求解析
http://imgur.com/4EDSn8W
另外也有人分析病毒的行为後,得知病毒有个子程序会送一个HTTP请求给一个网址,若
请求失败,便会传播,若请求成功,这个子程序就会结束。
http://imgur.com/XicGEF9
似乎以上两个线索不谋而合,然後就有勇者花了10.69镁去注册了这个网域,让病毒送请
求成功。请求成功,子程序结束,便不会传播。
再次观察病毒行为,成功的停止了病毒的扩散。
https://pbs.twimg.com/media/C_pJ_3EXYAA0LAu.jpg
大概就是这样,尽量删掉专有名词,希望有兴趣的也看得懂。
这块只算碰得上边,不算真懂,若有错误再麻烦指正。
以上来源:
勇者 Twitter
https://twitter.com/MalwareTechBlog
这篇有此次勒索软体的详尽分析与解说
http://blog.talosintelligence.com/2017/05/wannacry.html
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 117.56.162.73
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494656980.A.7B8.html
1F:推 StrikeBee: 推解说,回家详细研究一下 05/13 14:33
2F:推 nk950357: 推 10.69在暗示什麽我觉得我懂 05/13 14:34
3F:→ balberith: 更简单来说就自杀开关被打开了(? 05/13 14:35
4F:→ deadwood: 就是勒索病毒已经设定好一个自毁机制,被找出来利用 05/13 14:36
5F:→ deadwood: 但是说穿了,只要设计者随便改一下请求的域名就又复活 05/13 14:37
6F:推 nk950357: 话说vipre+ Malwarebytes挡得住这次的勒索吗 05/13 14:38
7F:→ deadwood: 修补漏洞才是根本之道 05/13 14:38
8F:推 a3831038: 病毒随便改一下连结网域就没用了阿 05/13 14:39
9F:→ ChoDino: 他没有自毁,只是他不会再从你家繁殖到隔壁邻居家了。 05/13 14:39
10F:→ nk950357: 有更新到1703了 怕以後突然遇到 因为电脑现在是我妈用 05/13 14:39
11F:→ nk950357: 他跟公司又要远端连线 很怕中到 05/13 14:39
12F:推 horseorange: 病毒制造者改网址不就又没用了? 05/13 15:16
13F:推 belion: 现在有用啊…… 05/13 15:22
14F:→ belion: 所以现在快补漏洞… 05/13 15:23
15F:推 abram: 其实 不要去注册 就可以等病毒制造者去注册时 抓到人了 05/13 17:35
16F:推 greg7575: 病毒制作者怎麽会去注册啦。哈 05/13 18:14
17F:推 a07051226: 根本不需要注册啊,hosts设一下,根本不需要注册domain 05/13 18:30
18F:推 jh961202: 最有趣的是注册的人还用这个网域搞了一个Honeypot来抓这 05/13 20:59
19F:→ jh961202: 次的攻击分布 05/13 20:59
20F:推 Prano: 10.69 05/13 22:16
21F:推 twoseven: 一般人不会改hosts, 至少他这麽做很多不懂的人受益 05/13 23:55
22F:推 martian001: 推 05/14 00:19