近日“风靡全球”的WannCry(我们姑且称之为香菇病毒)短短两天之内就感染了全球99个国家超过20万台电脑,WannaCry基于NSA泄露的WindowsSMB零日漏洞(代号EternalBlue)的代码开发,而EternalBlue仅仅是一个月前黑客组织“影子经纪人”(Shadow Broker)曝光的NSA的黑客武器库漏洞中的一个。
“停止开关”并不能阻止病毒蔓延
虽然在WannaCry爆发当天,安全研究人员MalwareTech无意中发现了WannaCry代码中的“停止开关”——一个域名,通过注册这个域名成功激活了病毒的传播中止机制,但这并不意味着这场全球性安全灾难的终结。
卡巴斯基全球分析团队总监Costin Raiu目前已经确认WannCry2.0变种已经现身,不再受“停止开关”控制。在接受Motherboard采访时,Raiu明确表示从昨日起已经检测到可以绕过域名停止开关的多个变种。
另外一位安全专家Mattew Hickey表示:
下一波WannaCry攻击不可避免,目前的补丁只是权宜之计,病毒扩散还将持续,而且未来数周、数月内,还将出现大量变种,因此最根本的办法就是给计算机及时更新补丁。
除了变种之外,WannaCry的攻击和传播方式也有可能发生变化,目前WannaCry利用SMB协议漏洞扫描互联网IP远程劫持漏洞电脑,但是未来WannaCry很有可能会借鉴传统勒索软件传播途径:大规模钓鱼邮件。(编者按:根据最新报告,40%的恶意软件都通过钓鱼邮件传播)
根据Redsocks对Wannacry代码中比特币支付地址的跟踪分析,目前WannCry攻击者只收获了不到3万美元赎金,我们很难想象攻击者会善罢甘休。
做好打持久战准备
发现“停止开关”的MalwareTech在博客中警告用户:
攻击者只需要更改少量代码就可再次发起攻击,因此当务之急就是更新系统补丁。
本文转自d1net(转载)
