WannaCry勒索软件可通过中断互联网重新激活

据报道，18个月前启动的WannaCry勒索软件感染了全球数十万台计算机，对计算机数据进行加密并要求受害者支付赎金。目前该臭名昭著的恶意软件仍潜伏在数千台计算机上。

WannaCry勒索软件首先发起攻击时，Kryptos Logic安全研究员MarcusHutchins注册了一个可用作勒索软件组件的终止开关域。针对未意识到问题的受害者，有人正编程WannaCry勒索软件来连接“iuqerfsodp9ifjaposdfjhgosurij faewrwergwea.com”域，以决定勒索软件是否应该自我激活。

当感染勒索软件时，终止开关域可防止激活勒索软件。然而，迄今为止，通常会在后台悄悄运行，并尝试连接终止开关域。

据Kryptos Logic安全威胁情报研究部门负责人Jamie Hankins报道，每周约有65万来自194个国家的独特IP地址连接开关域。其中最受影响的国家是中国、越南、印度与印度尼西亚。据Hankins称，一日中0.15%的连接请求来自英国，1.35%的连接请求来自美国。

下图是来自不同国家的连接请求：

WannaCry勒索软件目前仍活跃于多台计算机，这正是问题所在。而互联网中断可导致终止开关域不可用，这将促使勒索软件发起另一次攻击。简而言之，终止开关域实际上可防止勒索软件像野火一般蔓延。

Kryptos Logic建议企业使用“TellTale”服务，在IP地址范围内进行检查并在发现任何潜在感染时通知企业。