5月13日，席卷全球的勒索病毒W(wǎng)annaCry（也被稱作WanaCrypt或WCry），在今日晚間被互聯(lián)網(wǎng)安全人員找到阻止其傳播的方法。

據(jù)北京云縱信息技術(shù)有限公司首席科學(xué)家&研發(fā)副總裁鄭昀透露的信息，5月12日席卷全球的WannaCrypt（永恒之藍(lán)）勒索蠕蟲攻擊已經(jīng)停下攻擊的腳步。原因是安全人員分析了其行為，發(fā)現(xiàn)病毒會(huì)嘗試對(duì)一個(gè)iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的域名執(zhí)行HTTPGET操作，如果DNS解析失敗，它會(huì)繼續(xù)進(jìn)行感染操作，然而，如果解析成功（意味著某個(gè)人注冊(cè)了該域名，按下了戰(zhàn)爭停止按鈕），該程序?qū)?huì)結(jié)束。

“所以一位安全小哥注冊(cè)了該域名。這個(gè)事件從頭到尾都像是一部電影，開始的離奇，結(jié)束的詭異。”

這一消息得到獵豹移動(dòng)安全專家李鐵軍的證實(shí)，李鐵軍介紹，根據(jù)獵豹研發(fā)人員目前掌握的信息，他們猜測(cè)之所以出現(xiàn)這種情況，可能源于病毒作者擔(dān)心病毒無何止傳播，因此設(shè)定了一個(gè)停止條件。該域名注冊(cè)的最大意義在于，隨著安全人員注冊(cè)了該域名后，局域網(wǎng)管理者對(duì)網(wǎng)絡(luò)進(jìn)行主動(dòng)設(shè)置，可以阻止病毒在局域網(wǎng)內(nèi)進(jìn)行傳播。

據(jù)安天實(shí)驗(yàn)室介紹，這個(gè)域名相當(dāng)于一個(gè)停止開關(guān)，中招的機(jī)器軟件在發(fā)作前如果能訪問到這個(gè)域名，會(huì)不發(fā)作；但是發(fā)作后的已經(jīng)受到影響，內(nèi)網(wǎng)機(jī)器由于訪問不到會(huì)繼續(xù)發(fā)作，因?yàn)槠渌蛟L問不到的這個(gè)域名的也會(huì)繼續(xù)發(fā)作。

但目前病毒作者為何設(shè)置了這一停止條件依然未知，另外注冊(cè)了域名阻止病毒傳播的安全人員來自國外。

據(jù)騰訊安全反病毒實(shí)驗(yàn)室的分析，此次勒索事件與以往相比最大的特點(diǎn)在于，勒索病毒結(jié)合了蠕蟲的方式進(jìn)行傳播，傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞。在NSA泄漏的文件中，WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”，所以也有的報(bào)道稱此次攻擊為“永恒之藍(lán)”。

MS17-010漏洞指的是，攻擊者利用該漏洞，向用戶機(jī)器的445端口發(fā)送精心設(shè)計(jì)的網(wǎng)絡(luò)數(shù)據(jù)包文，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。如果用戶電腦開啟防火墻，也會(huì)阻止電腦接收445端口的數(shù)據(jù)。但是在中國高校內(nèi)，同學(xué)之間為了打局域網(wǎng)游戲，有時(shí)需要關(guān)閉防火墻，這也是此次事件在中國高校內(nèi)大肆傳播的原因。

對(duì)于如何防范的問題，騰訊安全反病毒實(shí)驗(yàn)室介紹，利用Windows系統(tǒng)遠(yuǎn)程漏洞進(jìn)行傳播，是此次勒索軟件的一大特點(diǎn)，也是在高校爆發(fā)的根本原因，所以開啟防火墻是簡單直接的方法。