【緊急通知】他用10美元意外阻止了導致全球淪陷的勒索病毒，但病毒已悄然變種！！

天下 05-15

從周五開始，一種叫WannaCry的勒索病毒感染全球，除了那些沒有電腦或者沒有網路的國家之外，一百多個國家紛紛中招…戳鏈接複習：【德媒聚焦】緊急擴散！連德國鐵路都中招了，99國已淪陷，比特幣勒索病毒在全球蔓延！你要這樣做！

感染的電腦上會彈出一個桌面，裡面寫著：「你的電腦已經被鎖，文件已經全部被加密，除非你支付等額價值300美元的比特幣，否則你的文件將會被永久刪除。"

而一個署名為MalwareTech的英國研究員卻無意成了拯救這場全球「浩劫」的英雄。

病毒開始在英國大範圍蔓延時，他正在外面，一回家，他就在這個病毒中發現了一個未註冊的域名：

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

於是就花了10.69美元註冊這個域名，以跟蹤病毒。

事實上，MalwareTech找到的，就是該病毒中隱藏的「刪除開關」。

這一「開關」被編碼隱藏在惡意軟體中，如果惡意軟體的製造者希望停止該病毒的傳播，那麼只要激活這一開關即可。這裡的開關機製為，該惡意軟體將會向任何網站，包括這個非常長的毫無感官意義的域名網站發送請求，而一旦該請求得到回應，就意味著該域名上線，「刪除開關」就會生效，惡意軟體也會停止傳播。

他像《紐約時報》提供的該域名訪問地圖如下圖所示，地圖上的每一個黃點，不僅代表著一台被感染了病毒的電腦，還代表著這台電腦訪問了MalwareTech註冊的這個域名，它們會停止，而不會繼續攻擊其他電腦…

此時，歐洲、亞洲已被感染太多來不及搶救，而美國還有時間。

而今天，5月14日，該病毒出現了新變種！

國家網路與信息安全信息通報中心發布緊急通報：監測發現，在全球範圍內爆發的WannaCry 勒索病毒出現了變種：WannaCry 2.0，與之前版本的不同是，這個變種取消了Kill Switch，不能通過註冊某個域名來關閉變種勒索病毒的傳播，該變種傳播速度可能會更快！

變種勒索病毒處置辦法：

一、請立即組織內網檢測，查找所有開放445 SMB服務埠的終端和伺服器，一旦發現中毒機器，立即斷網處置，目前看來對硬碟格式化可清除病毒。

二、目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請儘快為電腦安裝此補丁，網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010；對於XP、2003等微軟已不再提供安全更新的機器，建議升級操作系統版本，或關閉受到漏洞影響的埠，可以避免遭到勒索軟體等病毒的侵害。

三、一旦發現中毒機器，立即斷網。

四、啟用並打開「Windows防火牆」，進入「高級設置」，在入站規則里禁用「文件和印表機共享」相關規則。關閉UDP135、445、137、138、139埠，關閉網路文件共享。

五、嚴格禁止使用U盤、移動硬碟等可執行擺渡攻擊的設備。

六、儘快備份自己電腦中的重要文件資料到存儲設備上。

七、及時更新操作系統和應用程序到最新的版本。

八、加強電子郵件安全，有效的阻攔掉釣魚郵件，可以消除很多隱患。

九、安裝正版操作系統、Office軟體等。