當心！勒索病毒WannaCry仍然潛藏在世界各地的電腦上

　　12 月 27 日下午消息，據臺灣地區科技媒體 iThome 報道，安全公司 Kryptos Logic 中負責安全與威脅情報研究的 Jamie Hankins 上周在 Twitter 上表示，造成全球重大經濟損失的勒索病毒 WannaCry，至今仍然潛藏在世界各地的電腦上。

　　WannaCry 利用 EternalBlue 攻擊工具對微軟 Windows 操作系統的服務器信息區塊(SMB)漏洞展開攻擊，而 EternalBlue 為美國國家安全局(NSA)所開發。

　　2017 年 5 月 12 日，WannaCry 在歐洲市場率先發難，加密被黑電腦上的文件并勒索贖金，并能主動偵測及入侵網絡上其他有漏洞的設備，因此在短短的兩天內，便在全球超過 150 個國家迅速感染了數十萬臺電腦。此外，今年造成臺積電大當機的元兇也是 WannaCry 的變種。

　　減緩 WannaCry 肆虐的主要功臣是安全公司 Kryptos Logic 的研究人員 Marcus Hutchins，他發現了 WannaCry 的勒索元件有一個“銷毀”機制，即 WannaCry 會連至一個網絡域名。如果 WannaCry 未發現該域名則加密電腦文件。換而言之，如果 WannaCry 連接到了該網絡域名，則不會加密受感染電腦上的文件。

　　幸運的是，該域名竟然沒人注冊，隨后 Hutchins 便注冊了該域名，維持該域名的運作，成功阻止了 WannaCry 的勒索能力。

　　目前此一用來支撐“銷毀”機制的域名由 Cloudflare 負責維護，有鑒于那些已感染 WannaCry 的電腦還是會定期連接到“銷毀”域名，這讓 Kryptos Logic 得以持續觀察感染情況。

　　根據 Jamie Hankins12 月 21 日在 Twitter 上張貼的數據，他們當天的前 24 小時偵測到 184 個國家的 22 萬個獨立 IP 超過 270 萬次連結到該“銷毀”域名，前一周則有來自 194 個國家的 63 萬個獨立 IP 超過 1700 萬次連結到該“銷毀”域名。

　　不過，Hankins 也說明這些獨立 IP 無法代表實際的感染數量，只是這樣的流量仍然很驚人。前五大流量來自中國、印尼、越南、印度及俄羅斯。

　　依然潛伏在電腦中的 WannaCry 還是有爆發的風險，例如一旦網絡斷線，或是無法連接“銷毀”域名，WannaCry 的勒索元件就會再度執行。

　　企業或者用戶可通過 Kryptos Logic 免費提供的 Telltale 服務來偵測電腦上包括 WannaCry 在內的安全威脅。
　　（邯鄲網站建設）