※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-13 16:29:36
看板 AntiVirus
作者 標題 Re: [情報] WannaCry的kill switch 被發現了
時間 Sat May 13 14:29:35 2017
先說個結論:
有人發現了方法並停止了病毒的散播,已中獎的目前無解。未中獎的儘快更新,因為病毒
會變種,這方法也許很快就會失效,一失效就會開始擴散。
會變種,這方法也許很快就會失效,一失效就會開始擴散。
----
故事開始
Cisco Umbrella 的研究人員發現有個奇怪的網址突然大量的被要求解析
http://imgur.com/4EDSn8W
![[圖]](http://i.imgur.com/4EDSn8W.png)
另外也有人分析病毒的行為後,得知病毒有個子程序會送一個HTTP請求給一個網址,若
請求失敗,便會傳播,若請求成功,這個子程序就會結束。
http://imgur.com/XicGEF9
![[圖]](http://i.imgur.com/XicGEF9.png)
似乎以上兩個線索不謀而合,然後就有勇者花了10.69鎂去註冊了這個網域,讓病毒送請
求成功。請求成功,子程序結束,便不會傳播。
求成功。請求成功,子程序結束,便不會傳播。
再次觀察病毒行為,成功的停止了病毒的擴散。
https://pbs.twimg.com/media/C_pJ_3EXYAA0LAu.jpg
![[圖]](https://pbs.twimg.com/media/C_pJ_3EXYAA0LAu.jpg)
大概就是這樣,儘量刪掉專有名詞,希望有興趣的也看得懂。
這塊只算碰得上邊,不算真懂,若有錯誤再麻煩指正。
以上來源:
勇者 Twitter
https://twitter.com/MalwareTechBlog
這篇有此次勒索軟體的詳盡分析與解說
http://blog.talosintelligence.com/2017/05/wannacry.html
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 117.56.162.73
※ 文章代碼(AID): #1P5gVKUu (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494656980.A.7B8.html
※ 同主題文章:
05-13 12:18 ■ [情報] WannaCry的kill switch 被發現了
05-13 13:15 ■ Re: [情報] WannaCry的kill switch 被發現了
● 05-13 14:29 ■ Re: [情報] WannaCry的kill switch 被發現了
05-16 19:58 ■ Re: [情報] WannaCry
推 : 推解說,回家詳細研究一下1F 05/13 14:33
推 : 推 10.69在暗示什麼我覺得我懂2F 05/13 14:34
→ : 更簡單來說就自殺開關被打開了(?3F 05/13 14:35
→ : 就是勒索病毒已經設定好一個自毀機制,被找出來利用4F 05/13 14:36
→ : 但是說穿了,只要設計者隨便改一下請求的域名就又復活
→ : 但是說穿了,只要設計者隨便改一下請求的域名就又復活
推 : 話說vipre+ Malwarebytes擋得住這次的勒索嗎6F 05/13 14:38
→ : 修補漏洞才是根本之道7F 05/13 14:38
推 : 病毒隨便改一下連結網域就沒用了阿8F 05/13 14:39
→ : 他沒有自毀,只是他不會再從你家繁殖到隔壁鄰居家了。9F 05/13 14:39
→ : 有更新到1703了 怕以後突然遇到 因為電腦現在是我媽用10F 05/13 14:39
→ : 他跟公司又要遠端連線 很怕中到
→ : 他跟公司又要遠端連線 很怕中到
推 : 病毒製造者改網址不就又沒用了?12F 05/13 15:16
推 : 現在有用啊……13F 05/13 15:22
→ : 所以現在快補漏洞…
→ : 所以現在快補漏洞…
--
※ 看板: terievv 文章推薦值: 1 目前人氣: 0 累積人氣: 175
回列表(←)
分享