Wannacry扩散急煞 归功美专家发现杀着 英工程师意外一click!

撰文: 欧敬洛 许懿安
出版:更新:

Wannacry病毒冲击全球,据网络安全公司表示,多达99个国家、逾7.5万台电脑遭受感染。但灾情在周六(13日)晚突然停止进一步扩大,全归功美国网络保安专家发现它的“杀着”,而一位不知名英国工程师,则按下了病毒的“紧急煞车掣”。

Wannacry病毒冲击全球,感染近百个国家的电脑。(美联社)

勒索软件Wannacry病毒在香港时间周五(12日)清晨时间开始肆虐,至周六(13日)中招的机构或电脑不断增加,英国、西班牙、俄罗斯、台湾等地成为重灾区。但病毒在周六晚上突然“被煞车”,灾情停止进一步扩大,背后归功一位美国网络保安专家,和一位22岁的英国工程师。

  意外找出病毒发作出“连线动作”

一名不愿公开姓名仅自称“MalwareTech”的22岁工程师,住在英国西南部,任职Kryptos logic研究工作。他表示当日和朋友吃饭后,听到Wannacry肆虐的新闻:“我找到了一个病毒的样本,发现病毒发作前会寻找一个未被注册的网址,当时我不知那有甚么用。”

经仔细研究后MalwareTech发现病毒内码在攻击前会先做一个步骤,发送信号到一个指定网址:若有回应会停止动作,相反就会开始攻击。因网址并不存在,因此病毒必然会进行攻击。这个“漏洞”似乎是病毒作者预先设计,用作病毒的“紧急煞车掣”。

该网址由一串无意义的字母组成:“iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea”

延伸阅读:Wannacry肆虐港家庭电脑中招 保安中心:即拔除Lan线 教4招预防

▲MalwareTech的发现很快流传开去,上图是网民转述有关记载“煞车掣”的内码。

  买下网址作研究 谁知停止了病毒攻击

“最初我们不肯定那网址有甚么用,但因我们是专门研究黑客‘僵尸网络’的,所以决定以10.69美元(约80港元)买了这网址。”他们注册后随即留意到网址每秒有数以千计的点击:“我们不知这样做会加速传播还是怎样,我们只想继续监视再研究下一步行动,谁知我们让病毒停止攻击了。”

因病毒发作前会先向上述网址发讯号,现网址已被注册可作回应,所以病毒亦停止了攻击。但此举只能在病毒攻击前有效,若病毒已执行攻击造成损毁,是不可逆转的。

MalwareTech警告这不代表可以松懈:“散播病毒的人很快会知道为何攻击会停止,他们很可能会修改内码并再一次施袭,所以现在要做的就是尽快更新电脑。”

延伸阅读:Wannacry网络攻击罪魁祸首是美国? 斯诺登谴责国安局隐瞒漏洞

延伸阅读:勒索软件WannaCry“极危险” 旧视窗易中招 港与近百国家受攻击

勒索病毒WannaCry变种来袭 无 Kill-Switch“进化版”现身【WannaCry】港再有人中招 恐周一灾难爆发 专家倡3部曲防范WannaCry爆发长城沦陷 微软破例推Windows XP更新(附更新连结)

  企业习惯不更新 容易中招

Wannacry病毒针对旧版本的Windows系统漏洞进行攻击,且有别于以往的攻击模式,用户无需打开特定网页或档案,亦会自动受到感染,因此不少使用盗版或忽略系统更新的用户均受到影响。

但为何不少企业用户,包括英国国家卫生事务局(NHS)、法国大型通讯商Telefonica等都中毒瘫痪?他们当然不会使用盗版软件,但因不少企业以系统稳定为由,不会随便更新,以免与软件造成不兼容问题。所以当遇上这只会“主动攻击”的病毒,就很容易无招架之力。

微软已紧急发布了针对这次攻击的更新档,旧版视窗用户均可下载。(网络图片)

  微软紧急发布更档 Windows XP用户可下载

鉴于事态严重,微软决定紧急发布更新下载,让包括本来已停止支援的Windows XP、8、Server 2003的用户更新。现在旧版视窗用户只要开启自动更新功能,可自动下载到最新更新,堵塞漏洞。

至于最新版本的Windows 10用户,微软表示只要有开启自动更新功能,已下载今年3月发布的更新档,便可对病毒免疫。

延伸阅读:“Wannacry”病毒勒索全球近百国 英医疗系统、俄内政部成重灾区

▲MalwareTech呼吁尽快更新电脑,防范可能出现的新一轮攻击。

(综合报道)