关于自 12 日开始肆虐的勒索病毒 WannaCry,大家普遍认为传播速度已放缓,有人甚至认为已经找到战胜改病毒的办法。然而,领先的实时运营智能 (Operational Intelligence) 软件平台提供商 Splunk 公司威胁调研(Threat Research)总监 Rich Barger 提醒各机构:勒索病毒之战并未成功。如果仅仅因为一些反恶意软件起到了一定的作用而认为新版本 WannaCry 已被识别,然后掉以轻心,这可能会导致另一场危机。
Rich Barger 指出,网络安全领域常常遭遇的两大问题是自动传输恶意软件以及数据破坏攻击,两者兼有的情况极为罕见。但此次出现的 WannaCry 攻击致使全球网络环境受到了极为严重的影响。据调查,这个恶意软件的运行机制主要是通过“Kill Switch” 触发不明域名,以蠕虫式病毒的方式传播。
全球各大机构也开始反恶意软件的行动并起到相应的作用。但是,正如网络卫士可以修补易受攻击的主机一样,修补的 WannaCry 样本也已经出现。 这表示未知参与者正试图修改可执行文件,以便删除“kill switch”功能或完全更改“kill switch”域。 这些意图本质上可能是恶意的,对研究人员构成滋扰。
最近,西班牙国家密码中心(CCN-CERT)和 Rendition Infosec 发布的实用程序使 WannaCry 互斥体无效,以防止勒索软件执行和加密本地文件。 这些实用程序不是一种彻底根除病毒的方法,而只是能够争取时间,直到问题得到修补。 因此,目前这场战役并未取得最后的胜利,各方仍旧应该资源共享,继续努力。
