作者ChoDino ()
看板AntiVirus
標題Re: [情報] WannaCry的kill switch 被發現了
時間Sat May 13 14:29:35 2017
先說個結論:
有人發現了方法並停止了病毒的散播,已中獎的目前無解。未中獎的儘快更新,因為病毒
會變種,這方法也許很快就會失效,一失效就會開始擴散。
----
故事開始
Cisco Umbrella 的研究人員發現有個奇怪的網址突然大量的被要求解析
http://imgur.com/4EDSn8W
另外也有人分析病毒的行為後,得知病毒有個子程序會送一個HTTP請求給一個網址,若
請求失敗,便會傳播,若請求成功,這個子程序就會結束。
http://imgur.com/XicGEF9
似乎以上兩個線索不謀而合,然後就有勇者花了10.69鎂去註冊了這個網域,讓病毒送請
求成功。請求成功,子程序結束,便不會傳播。
再次觀察病毒行為,成功的停止了病毒的擴散。
https://pbs.twimg.com/media/C_pJ_3EXYAA0LAu.jpg
大概就是這樣,儘量刪掉專有名詞,希望有興趣的也看得懂。
這塊只算碰得上邊,不算真懂,若有錯誤再麻煩指正。
以上來源:
勇者 Twitter
https://twitter.com/MalwareTechBlog
這篇有此次勒索軟體的詳盡分析與解說
http://blog.talosintelligence.com/2017/05/wannacry.html
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 117.56.162.73
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494656980.A.7B8.html
1F:推 StrikeBee: 推解說,回家詳細研究一下 05/13 14:33
2F:推 nk950357: 推 10.69在暗示什麼我覺得我懂 05/13 14:34
3F:→ balberith: 更簡單來說就自殺開關被打開了(? 05/13 14:35
4F:→ deadwood: 就是勒索病毒已經設定好一個自毀機制,被找出來利用 05/13 14:36
5F:→ deadwood: 但是說穿了,只要設計者隨便改一下請求的域名就又復活 05/13 14:37
6F:推 nk950357: 話說vipre+ Malwarebytes擋得住這次的勒索嗎 05/13 14:38
7F:→ deadwood: 修補漏洞才是根本之道 05/13 14:38
8F:推 a3831038: 病毒隨便改一下連結網域就沒用了阿 05/13 14:39
9F:→ ChoDino: 他沒有自毀,只是他不會再從你家繁殖到隔壁鄰居家了。 05/13 14:39
10F:→ nk950357: 有更新到1703了 怕以後突然遇到 因為電腦現在是我媽用 05/13 14:39
11F:→ nk950357: 他跟公司又要遠端連線 很怕中到 05/13 14:39
12F:推 horseorange: 病毒製造者改網址不就又沒用了? 05/13 15:16
13F:推 belion: 現在有用啊…… 05/13 15:22
14F:→ belion: 所以現在快補漏洞… 05/13 15:23
15F:推 abram: 其實 不要去註冊 就可以等病毒製造者去註冊時 抓到人了 05/13 17:35
16F:推 greg7575: 病毒製作者怎麼會去註冊啦。哈 05/13 18:14
17F:推 a07051226: 根本不需要註冊啊,hosts設一下,根本不需要註冊domain 05/13 18:30
18F:推 jh961202: 最有趣的是註冊的人還用這個網域搞了一個Honeypot來抓這 05/13 20:59
19F:→ jh961202: 次的攻擊分布 05/13 20:59
20F:推 Prano: 10.69 05/13 22:16
21F:推 twoseven: 一般人不會改hosts, 至少他這麼做很多不懂的人受益 05/13 23:55
22F:推 martian001: 推 05/14 00:19