看板 AntiVirus
作者
標題 Re: [情報] WannaCry的kill switch 被發現了
時間 Sat May 13 14:29:35 2017
作者
標題 Re: [情報] WannaCry的kill switch 被發現了
時間 Sat May 13 14:29:35 2017
先說個結論:
有人發現了方法並停止了病毒的散播,已中獎的目前無解。未中獎的儘快更新,因為病毒
會變種,這方法也許很快就會失效,一失效就會開始擴散。
會變種,這方法也許很快就會失效,一失效就會開始擴散。
----
故事開始
Cisco Umbrella 的研究人員發現有個奇怪的網址突然大量的被要求解析
http://imgur.com/4EDSn8W
![[圖]](http://i.imgur.com/4EDSn8W.png)
另外也有人分析病毒的行為後,得知病毒有個子程序會送一個HTTP請求給一個網址,若
請求失敗,便會傳播,若請求成功,這個子程序就會結束。
http://imgur.com/XicGEF9
![[圖]](http://i.imgur.com/XicGEF9.png)
似乎以上兩個線索不謀而合,然後就有勇者花了10.69鎂去註冊了這個網域,讓病毒送請
求成功。請求成功,子程序結束,便不會傳播。
求成功。請求成功,子程序結束,便不會傳播。
再次觀察病毒行為,成功的停止了病毒的擴散。
https://pbs.twimg.com/media/C_pJ_3EXYAA0LAu.jpg
![[圖]](https://pbs.twimg.com/media/C_pJ_3EXYAA0LAu.jpg)
大概就是這樣,儘量刪掉專有名詞,希望有興趣的也看得懂。
這塊只算碰得上邊,不算真懂,若有錯誤再麻煩指正。
以上來源:
勇者 Twitter
https://twitter.com/MalwareTechBlog
這篇有此次勒索軟體的詳盡分析與解說
http://blog.talosintelligence.com/2017/05/wannacry.html
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 117.56.162.73
※ 文章代碼(AID): #1P5gVKUu (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494656980.A.7B8.html
※ 同主題文章:
05-13 12:18
05-13 13:15
Re: [情報] WannaCry的kill switch 被發現了
05-13 14:29
05-16 19:58
推 : 推解說,回家詳細研究一下1F 05/13 14:33
推 : 推 10.69在暗示什麼我覺得我懂2F 05/13 14:34
→ : 更簡單來說就自殺開關被打開了(?3F 05/13 14:35
→ : 就是勒索病毒已經設定好一個自毀機制,被找出來利用
但是說穿了,只要設計者隨便改一下請求的域名就又復活4F 05/13 14:36
但是說穿了,只要設計者隨便改一下請求的域名就又復活4F 05/13 14:36
推 : 話說vipre+ Malwarebytes擋得住這次的勒索嗎6F 05/13 14:38
→ : 修補漏洞才是根本之道7F 05/13 14:38
推 : 病毒隨便改一下連結網域就沒用了阿8F 05/13 14:39
→ : 他沒有自毀,只是他不會再從你家繁殖到隔壁鄰居家了。9F 05/13 14:39
→ : 有更新到1703了 怕以後突然遇到 因為電腦現在是我媽用他跟公司又要遠端連線 很怕中到10F 05/13 14:39
推 : 病毒製造者改網址不就又沒用了?12F 05/13 15:16
推 : 現在有用啊……
所以現在快補漏洞…13F 05/13 15:22
所以現在快補漏洞…13F 05/13 15:22
--
(ChoDino.): Re: [情報] WannaCry的kill switch 被發現了 - terievv板