WannaCry結束了？ 安專家註冊域名掐斷病毒傳播

　　騰訊科技訊，（韓依民） 5 月 13 日，席捲全球的勒索病毒 WannaCry（也被稱做 WanaCrypt 或 WCry），在今日晚間被互聯網安全人員找到阻止其傳播的方法。

　　據北京雲縱信息技術有限公司首席科學家&研發副總裁鄭昀透露的信息，5 月 12 日席捲全球的 WannaCrypt（永恆之藍）勒索蠕蟲攻擊已經停下攻擊的腳步。緣由是安全人員分析了其行爲，發現病毒會嘗試對一個 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的域名執行 HTTP GET 操做，若是 DNS 解析失敗，它會繼續進行感染操做，然而，若是解析成功（意味着某我的註冊了該域名，按下了戰爭中止按鈕），該程序將會結束。

　　「因此一位安全小哥註冊了該域名。這個事件從頭至尾都像是一部電影，開始的離奇，結束的詭異。」

　　這一消息獲得獵豹移動安全專家李鐵軍的證明，李鐵軍介紹，根據獵豹研發人員目前掌握的信息，他們猜想之因此出現這種狀況，可能源於病毒做者擔憂病毒無何止傳播，所以設定了一箇中止條件。該域名註冊的最大意義在於，隨着安全人員註冊了該域名後，局域網管理者對網絡進行主動設置，能夠阻止病毒在局域網內進行傳播。

　　據安天實驗室介紹，這個域名至關於一箇中止開關，中招的機器軟件在發做前若是能訪問到這個域名，會不發做；可是發做後的已經受到影響，內網機器因爲訪問不到會繼續發做，由於其餘緣由訪問不到的這個域名的也會繼續發做。

　　但目前病毒做者爲什麼設置了這一中止條件依然未知，另外註冊了域名阻止病毒傳播的安全人員來自國外。

　　據騰訊安全反病毒實驗室的分析，這次勒索事件與以往相比最大的特色在於，勒索病毒結合了蠕蟲的方式進行傳播，傳播方式採用了前不久 NSA 被泄漏出來的 MS17-010 漏洞。在 NSA 泄漏的文件中，WannaCry 傳播方式的漏洞利用代碼被稱爲「EternalBlue」，因此也有的報道稱這次攻擊爲「永恆之藍」。

　　MS17-010 漏洞指的是，攻擊者利用該漏洞，向用戶機器的 445 端口發送精心設計的網絡數據包文，實現遠程代碼執行。若是用戶電腦開啓防火牆，也會阻止電腦接收 445 端口的數據。可是在中國高校內，同窗之間爲了打局域網遊戲，有時須要關閉防火牆，這也是這次事件在中國高校內大肆傳播的緣由。

　　對於如何防範的問題，騰訊安全反病毒實驗室介紹，利用 Windows 系統遠程漏洞進行傳播，是這次勒索軟件的一大特色，也是在高校爆發的根本緣由，因此開啓防火牆是簡單直接的方法。