顯示廣告
隱藏 ✕
※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-13 16:29:36
看板 AntiVirus
作者 ChoDino ()
標題 Re: [情報] WannaCry的kill switch 被發現了
時間 Sat May 13 14:29:35 2017


先說個結論:

有人發現了方法並停止了病毒的散播,已中獎的目前無解。未中獎的儘快更新,因為病毒

會變種,這方法也許很快就會失效,一失效就會開始擴散。


----

故事開始

Cisco Umbrella 的研究人員發現有個奇怪的網址突然大量的被要求解析

http://imgur.com/4EDSn8W
[圖]
 


另外也有人分析病毒的行為後,得知病毒有個子程序會送一個HTTP請求給一個網址,若

請求失敗,便會傳播,若請求成功,這個子程序就會結束。

http://imgur.com/XicGEF9
[圖]
 


似乎以上兩個線索不謀而合,然後就有勇者花了10.69鎂去註冊了這個網域,讓病毒送請

求成功。請求成功,子程序結束,便不會傳播。


再次觀察病毒行為,成功的停止了病毒的擴散。

https://pbs.twimg.com/media/C_pJ_3EXYAA0LAu.jpg
[圖]
 


大概就是這樣,儘量刪掉專有名詞,希望有興趣的也看得懂。

這塊只算碰得上邊,不算真懂,若有錯誤再麻煩指正。


以上來源:

勇者 Twitter
https://twitter.com/MalwareTechBlog

這篇有此次勒索軟體的詳盡分析與解說
http://blog.talosintelligence.com/2017/05/wannacry.html

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 117.56.162.73
※ 文章代碼(AID): #1P5gVKUu (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494656980.A.7B8.html
StrikeBee: 推解說,回家詳細研究一下1F 05/13 14:33
nk950357: 推 10.69在暗示什麼我覺得我懂2F 05/13 14:34
balberith: 更簡單來說就自殺開關被打開了(?3F 05/13 14:35
deadwood: 就是勒索病毒已經設定好一個自毀機制,被找出來利用4F 05/13 14:36
deadwood: 但是說穿了,只要設計者隨便改一下請求的域名就又復活
nk950357: 話說vipre+ Malwarebytes擋得住這次的勒索嗎6F 05/13 14:38
deadwood: 修補漏洞才是根本之道7F 05/13 14:38
a3831038: 病毒隨便改一下連結網域就沒用了阿8F 05/13 14:39
ChoDino: 他沒有自毀,只是他不會再從你家繁殖到隔壁鄰居家了。9F 05/13 14:39
nk950357: 有更新到1703了 怕以後突然遇到 因為電腦現在是我媽用10F 05/13 14:39
nk950357: 他跟公司又要遠端連線 很怕中到
horseorange: 病毒製造者改網址不就又沒用了?12F 05/13 15:16
belion: 現在有用啊……13F 05/13 15:22
belion: 所以現在快補漏洞…

--
※ 看板: terievv 文章推薦值: 1 目前人氣: 0 累積人氣: 175 
分享網址: 複製 已複製
( ̄︶ ̄)b justif 說讚!
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇