Wannacry扩散急煞 归功美专家发现杀着 英工程师意外一click!

撰文: 欧敬洛 许懿安
出版:更新:

Wannacry病毒冲击全球,据网络安全公司表示,多达99个国家、逾7.5万台电脑遭受感染。但灾情在周六(13日)晚突然停止进一步扩大,全归功美国网络保安专家发现它的“杀着”,而一位不知名英国工程师,则按下了病毒的“紧急煞车掣”。

Wannacry病毒冲击全球,感染近百个国家的电脑。(美联社)

勒索软件Wannacry病毒在香港时间周五(12日)清晨时间开始肆虐,至周六(13日)中招的机构或电脑不断增加,英国、西班牙、俄罗斯、台湾等地成为重灾区。但病毒在周六晚上突然“被煞车”,灾情停止进一步扩大,背后归功一位美国网络保安专家,和一位22岁的英国工程师。

 意外找出病毒发作出“连线动作”

一名不愿公开姓名仅自称“MalwareTech”的22岁工程师,住在英国西南部,任职Kryptos logic研究工作。他表示当日和朋友吃饭后,听到Wannacry肆虐的新闻:“我找到了一个病毒的样本,发现病毒发作前会寻找一个未被注册的网址,当时我不知那有甚么用。”

经仔细研究后MalwareTech发现病毒内码在攻击前会先做一个步骤,发送信号到一个指定网址:若有回应会停止动作,相反就会开始攻击。因网址并不存在,因此病毒必然会进行攻击。这个“漏洞”似乎是病毒作者预先设计,用作病毒的“紧急煞车掣”。

该网址由一串无意义的字母组成:“iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea”

延伸阅读:Wannacry肆虐港家庭电脑中招 保安中心:即拔除Lan线 教4招预防

▲MalwareTech的发现很快流传开去,上图是网民转述有关记载“煞车掣”的内码。

 买下网址作研究 谁知停止了病毒攻击

“最初我们不肯定那网址有甚么用,但因我们是专门研究黑客‘僵尸网络’的,所以决定以10.69美元(约80港元)买了这网址。”他们注册后随即留意到网址每秒有数以千计的点击:“我们不知这样做会加速传播还是怎样,我们只想继续监视再研究下一步行动,谁知我们让病毒停止攻击了。”

因病毒发作前会先向上述网址发讯号,现网址已被注册可作回应,所以病毒亦停止了攻击。但此举只能在病毒攻击前有效,若病毒已执行攻击造成损毁,是不可逆转的。

MalwareTech警告这不代表可以松懈:“散播病毒的人很快会知道为何攻击会停止,他们很可能会修改内码并再一次施袭,所以现在要做的就是尽快更新电脑。”

延伸阅读:Wannacry网络攻击罪魁祸首是美国? 斯诺登谴责国安局隐瞒漏洞

延伸阅读:勒索软件WannaCry“极危险” 旧视窗易中招 港与近百国家受攻击

英国《太阳报》报道,网传相中人就是今次事件中的无名英雄。(《太阳报》网站截图)

 老板以放假奖励 无名英雄:我想返工

英国《太阳报》披露成功阻止灾情的无名英雄MalwareTech的照片(右图),并成功联络他进行访问。他说老板为了奖励他,让他再放多一星期的假期。不过他却想返工:“我不需要任何东西,我真的只想回去工作。我的老板提出以‘真・一周假期’,取代这不是真的一周假期。”

他在Twitter上推文写道“我承认,直至注册域名前,我不知道此举会令它停止运作,所以这是意外之举。”他同时再次呼吁网民更新系统以保障自己。

MalwareTech的老板之所以要还员工一个“真・一周假期”,是因他是放假期间于家中工作时无意中破解这一波攻击。这名自学成材的年轻专家,在接收美国另一名网络保安专家的资料后,花了数小时便找到它恶意程式的“死穴”。

这位不愿公开姓名的青年在回应《星期日邮报》访问时表示:“说我救命是有点夸张了,不过我倒帮一些人省了点钱。”他的意外之举让不少用家或企业免于支付赎金,那么这一波攻击背后的黑手又有赚多少?有专家向英国《卫报》表示,黑客通过今次大规模勒索,仅赚得1.55万镑(约155,703港元)

赫斯发现恶意程式的“杀着”后,将资料跟英国的无名英雄分享。两人虽然不是有计划的合作,却成功阻止程式继续肆虐网络。(Linkedin)

 美国网络保安研究员 越洋携手建功

事件中还有另一位幕后功臣,现年28岁,任职美国网络保安公司Proofpoint的网络保安研究员赫斯(Darien Huss)亦在事件中出了不少力。他说,对于情况表示开心,但担心未来数天会有另一次攻击。

赫斯在上周五发现恶意软件的“杀着”(kill switch)之后,将资料跟身在英国的MalwareTech分享。而后者无意中采取的行动(将域名注册),成为制止攻击继续扩散的关键。

赫斯表示,幸好发现如个制止攻击的人,不是一个心术不正的人。不过他也呼应英国的无名英雄所讲,对于幕后黑来来说,再度发放新版程式,或是其他人模仿犯罪,都不是难事。

他接受英国《星期日电讯报》访问时表示,基于它的机制简单,模仿犯罪者可能很快出击。

赫斯没有邀功,反正盛赞英国青年才是英雄。MalwareTech跟他说,在成功刹停病毒进一步扩散时,令他开心得跳来跳去!

勒索病毒WannaCry变种来袭 无 Kill-Switch“进化版”现身【WannaCry】港再有人中招 恐周一灾难爆发 专家倡3部曲防范WannaCry爆发长城沦陷 微软破例推Windows XP更新(附更新连结)

 企业习惯不更新 容易中招

Wannacry病毒针对旧版本的Windows系统漏洞进行攻击,且有别于以往的攻击模式,用户无需打开特定网页或档案,亦会自动受到感染,因此不少使用盗版或忽略系统更新的用户均受到影响。

但为何不少企业用户,包括英国国家卫生事务局(NHS)、法国大型通讯商Telefonica等都中毒瘫痪?他们当然不会使用盗版软件,但因不少企业以系统稳定为由,不会随便更新,以免与软件造成不兼容问题。所以当遇上这只会“主动攻击”的病毒,就很容易无招架之力。

微软已紧急发布了针对这次攻击的更新档,旧版视窗用户均可下载。(网络图片)

 微软紧急发布更档 Windows XP用户可下载

鉴于事态严重,微软决定紧急发布更新下载,让包括本来已停止支援的Windows XP、8、Server 2003的用户更新。现在旧版视窗用户只要开启自动更新功能,可自动下载到最新更新,堵塞漏洞。

至于最新版本的Windows 10用户,微软表示只要有开启自动更新功能,已下载今年3月发布的更新档,便可对病毒免疫。

延伸阅读:“Wannacry”病毒勒索全球近百国 英医疗系统、俄内政部成重灾区

▲MalwareTech呼吁尽快更新电脑,防范可能出现的新一轮攻击。

(综合报道)