[操作指南] 研究人员发现WannaCry勒索病毒内置了开关

上周五开始名为WannaCry的勒索病毒在全球疯狂传播,保守估计目前全球被该病毒感染的设备超过百万台。

无论是普通用户的电脑还是企业或者是机构内部的设备,甚至是部分银行的 ATM 机以及指示牌等均遭感染。

英国安全研究人员在逆向WannaCry勒索病毒时意外发现了该病毒内置了某个不存在的域名作为其攻击开关。

如果该域名存在并能够返回信息那么攻击自动停止,如果该域名不存在或者是不能返回信息那么则继续攻击。

这个奇怪的开关看起来像是病毒制作者为了控制局势而添加的,利用域名返回信息可以轻易的控制传播局势。

研究人员发现WannaCry勒索病毒内置了开关

目前安全研究人员已经将这个域名注册并可以返回信息,这样已经中毒的设备将不会再继续向其他设备渗透。

目前微软已经紧急向所有已经停止的操作系统发布了安全补丁,包括Windows XP和Windows Server 2003。

因此当务之急是所有用户应立刻安装安全更新封堵漏洞,避免遭到来自其他设备传播的 WannaCry病毒感染。

研究人员发现WannaCry勒索病毒内置了开关

国内用户可以这么干:

注:所谓该病毒的变种2.0已经删除了开关是个乌龙,目前并没有2.0版并且修改host方法依然有效的。

需要注意的是由于研究人员注册该域名后将解析的服务器位于美国,国内由于网络原因可能无法正常连接。

蓝点网已经在服务器上绑定了该域名并经过测试可以正常返回信息,因此您可修改 hosts 文件进行重定向。

请打开C:\Windows\System32\drivers\etc文件夹将hosts文件剪切到桌面上,然后使用记事本打开文件。

在该文件结尾添加:

45.76.211.28 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

然后点击记事本左上角的文件---保存按钮保存修改记录,最后将该文件剪切再到此前的文件夹中粘贴即可。

请注意:部分安全软件可能会对修改 hosts 的行为发出警告,如遇修改警告请点击允许并放行本次的修改。

经过此修改之后倘若不幸感染WannaCry勒索病毒,病毒在访问域名后不会再进行文件加密和继续传播了。

修改完成后点击这里:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 显示中文则正常。

本文来源 蓝点网 原创,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 原创 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

18 条评论,访客:18 条,站长:0 条
  1. 山外的鸡哥
    山外的鸡哥发布于: 
    Google Chrome 58.0.3029.110 Google Chrome 58.0.3029.110 Windows 7 64位版 Windows 7 64位版

    修改完还是中文,是不是已经中毒了

      • 山外的鸡哥
        山外的鸡哥发布于: 
        Google Chrome 58.0.3029.110 Google Chrome 58.0.3029.110 Windows 7 64位版 Windows 7 64位版

        我说错了,是英文

        • 山外的鸭子哥
          山外的鸭子哥发布于: 
          Google Chrome 58.0.3029.110 Google Chrome 58.0.3029.110 Windows 10 64位版 Windows 10 64位版

          PING看看返回的IP是不是文章提供的 如果不是说明没改好 改对了的话 访问应该出现 返回信息正常

  2. Num
    Num发布于: 
    Google Chrome 60.0.3096.0 Google Chrome 60.0.3096.0 Windows 10 64位版 Windows 10 64位版

    修改后还是英文,因为全局梯子,哈哈

  3. 蓝点-QCXY_HD
    蓝点-QCXY_HD发布于: 
    Google Chrome 49.0.2623.75 Google Chrome 49.0.2623.75 Windows 7 64位版 Windows 7 64位版

    hosts加了那一条,但是验证链接还是英文

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Safari 10.0 Safari 10.0 iPhone iOS 10.3.1 iPhone iOS 10.3.1

      说明没改好。。重新打开检查下

      • 恍恍惚惚
        恍恍惚惚发布于: 
        Google Chrome 57.0.2987.133 Google Chrome 57.0.2987.133 Windows 7 64位版 Windows 7 64位版

        看了#6的回复终于知道问题了,原来是因为挂了代理

  4. 恍恍惚惚
    恍恍惚惚发布于: 
    Google Chrome 57.0.2987.133 Google Chrome 57.0.2987.133 Windows 7 64位版 Windows 7 64位版

    改了host然而没有显示中文 肿么办

  5. 前端初学者
    前端初学者发布于: 
    UC Browser 6.1.2107.204 UC Browser 6.1.2107.204 Windows 10 64位版 Windows 10 64位版

    如果使用了Windows自带的BL加密了硬盘,这个病毒还会起作用吗?

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 58.0.3029.96 Google Chrome 58.0.3029.96 Windows 10 64位版 Windows 10 64位版

      也会起 因为bl加密你插入电脑得解锁吧 如果你不解锁不能访问自然不能锁住文件,一解锁 照样给你加密了

  6. 东条希
    东条希发布于: 
    Google Chrome 58.0.3029.83 Google Chrome 58.0.3029.83 Android 7.0 Android 7.0

    好像病毒变种2.0版本修复了这个漏洞

      • 前端初学者
        前端初学者发布于: 
        UC Browser 6.1.2107.204 UC Browser 6.1.2107.204 Windows 10 64位版 Windows 10 64位版

        这就尴尬了

  7. 水军
    水军发布于: 
    Google Chrome 58.0.3029.110 Google Chrome 58.0.3029.110 Windows 10 64位版 Windows 10 64位版

    http://www.cnbeta.com/articles/tech/612365.htm

    5月14日,北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》指出,有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 58.0.3029.96 Google Chrome 58.0.3029.96 Windows 10 64位版 Windows 10 64位版

      此消息被证实为乌龙。。。没有变种、依然可以通过修改host的方法解决

发表评论