于16日,泄露美国国安局网络间谍工具间接引发勒索软件WannaCry全球性攻击事件的骇客组织“影子掮客”(Shadow Brokers),于网上发表声明称,自6月起打算出售程式码,使骇客能够入侵全球最广泛使用的电脑、软件与手机等,甚至中国、俄罗斯与朝鲜的核子与飞弹计划资料,可说是挑战世界各国政府。

从5月13日开始,爆发勒索病毒“WannaCry”肆虐全球150个国家和地区。(图片来源:视频截图)

“影子掮客”于部落格上宣称,从6月起,每个月皆会发布用于入侵电脑的新软件与工具,让者购买用来入侵网页浏览器、网络路由器、手机的新软件及工具等。除外,还扬言会发布一批银行资料,当中更涉及国际转帐平台“环球银行金融电信协会”(SWIFT),及中国、俄罗斯或朝鲜核子和导弹计划的资料,再加上当中还会有未曾披露过的微软最新软件系统Windows 10的弱点“零日(Zero-days)”。并承诺于6月会公布更多资讯。

从5月13日开始,爆发勒索病毒“WannaCry”肆虐全球150个国家和地区,致使医疗、教育、交通、石油与政府部门等多类机构受害。据悉,这次网络攻击跟“影子掮客”有关,这个组织在去年曾经骇入NSA下属的骇客组织方程式组织(Equation Group),并窃取大量机密档,且把部分档公开于网上售卖。但在15日,美国国土安全顾问博塞特(Tom Bossert)则否认此说法。

经实验室初步判断,勒索病毒WannaCry是存在于网际网络爆发之前,目前仍在变种。于监控到的样本中,实验室也发现了疑似骇客的开发路径,有的已变为“WannaSister.exe”。

这次WannaCry勒索病毒席卷全球,并于短时间内被引爆,不过,实际的破坏性并不算大,它仅是与微软漏洞结合著作恶,目前已找到了有效的防御方法。

现今此漏洞已被英国一位22岁的网络安全专家发现了,并阻止了勒索病毒的继续传播。

根据《卫报》报导,这名年轻网络专家化名为MalwareTech,他说,在病毒爆发的当日下午3点,他跟同事一起吃完午餐后,才知道有众多灾情传出。当他检视勒索病毒之时,发现此恶意软件会连上一个特定的网址,但这个该网址并没有被注册,网址名称是由乱码所组成的。

因此MalwareTech决定花10.69美元去注册该网址,而后再试试看是否能分析病毒的传播模式,竟没想到当他注册网址之后,勒索病毒就停止扩散了。

MalwareTech认为,这可能是写出勒索病毒者,将这个网址当成是“销毁开关”(killswith),当病毒使电脑中毒之后,都会与该网址联系,但若这个网址不再是虚拟的,而是真实存在时,则病毒就会停止传播。亦即在MalwareTech注册后激活了该网址,开启了病毒的销毁开关,而这个销毁开关是创建者避免病毒继续扩散的方式。

但MalwareTech也强调,创造病毒者有可能会更改另一个虚拟网址,使病毒再度流传,所以呼吁人们要尽快更新电脑。

2017-05-19