专家预测第二波WannaCry勒索病毒攻击即将到来

专家预测第二波WannaCry勒索病毒攻击即将到来。

WannaCry的传播脚步今晨戛然而止

今天一大早，全网的WannaCry蠕虫病毒攻击突然减弱消退了!所有这一切功劳来自于英国研究人员@malwaretech，他通过逆向发现WannaCry代码中有一个特殊域名地址：

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

这就像随机敲打出来的域名。与此同时，思科研究人员也发现，昨天之前，网络上完全没有针对这个域名的访问流量，仅昨天一天时间，这个域名的访问量就达到每小时1400多次。

不可思议的是，@malwaretech竟然发现，该域名是个未经注册域名，出于职业习惯，他打算进行一些sinkhole攻击，于是他果断出手，花费了8.29英镑就把它注册在自己名下。注册成功后，他发现这个域名可以接收到世界各国电脑系统的连接请求，这难道是WannaCry的C2域名吗?随着各路安全人员的逆向深入，发现该域名像是病毒制作者为防止事态失去控制，而故意留下的一个紧急停止开关，因为逆向代码中有这样一段程序逻辑：

意思是这样的：请求这个域名，如果该域名存在，则退出;如果该域名不存在，则继续攻击….，GOD，该域名竟然控制着WannaCry病毒的传播，它就是WannaCry病毒传播的“紧急开关”(kill switch )。@malwaretech的随手注册，立了大功!，他在推特中说道，“在注册这个域名之前，我完全不知道能有此效果，这完全是个意外之举。”

最终，媒体记者通过其注册预留的邮箱联系到了@malwaretech。

其实，在该事件一发生时，身为僵尸网络研究人员的@malwaretech就及时对WannaCry病毒进行了跟踪分析，其制作了动态分析趋势图被多家安全公司和媒体采用报道。

我国继续呈高危感染态势

虽然WannaCry蠕虫传播被临时“制止”了，但这只能阻止其通过网络继续感染传播，并不能防止本机中毒被加密勒索。而且，从当前情况来看，我国还在处于感染传播严重阶段，从malwaretech动态图分析，我国华东多个地区内还继续有WannaCry感染情况。

专家预测升级版的WannaCry2.0将会继续发起攻击

另外，据安全人员表示，这还没完，攻击者可能还会发起第二波WannaCry攻击，新一波的变异WannaCry程序将不会内置“紧急开关”(kill switch)了，到时这种WannaCry升级版的传播感染态势将不可预计。希望人们尽快利用这段时间及时修复补丁，采取相关预防措施。

卡巴斯基研究人员Costin Raiu表示：

“我敢肯定，那些没有紧急开关(kill switch)域名的变异版本已经在传播了!”

Hacker House专家Matthew Hickey也透露：

“作为攻击者来说，只需要使用十六进制编辑器简单更新一下程序，删除那个所谓的紧急开关或进行其它的功能更新，这就是一个升级版的WannaCry2.0，所以，下一波攻击将难以避免。在未来几周或数月内，我们将会看到不同的WannaCry变体传播。对于我们广大用户来说，请尽快升级补丁才是当务之急!”

Hickey还表示：

“WannaCry不仅仅可以当成蠕虫病毒，它还可以被其它恶意软件利用，或搭载漏洞利用Payload发起多种形式的攻击。”

目前，针对不包含”紧急开关”域名的升级版本WannaCry2.0，在安全社区和Twitter中也出现了讨论。我们将持续关注。也希望相关机构和个人及时参照相关方法，修复补丁，采取相关安全预防措施。