Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

WannaCry并未走远,Kill Switch域名仍有数十万IP请求

0
0

WannaCry并未走远,Kill Switch域名仍有数十万IP请求

据外媒BleepingComputer 报道 ,尽管距离WannaCry勒索软件首次爆发已经过去了18个月的时间,但它仍然被发现继续潜伏在数千台受感染的计算机上。

当WannaCry勒索软件首次出现时,来自网络安全公司Kryptos Logic的安全研究员Marcus Hutchins注册了一个域名来充当WannaCry组件的死亡开关(kill switch)――如果WannaCry连接到这个死亡开关域,那么它的组件就不会被激活。但是,WannaCry仍然会继续在后台静默地运行,同时定期向该死亡开关域发起连接请求,以检查该域名是否仍然存在。

在上周五,Kryptos Logic公司的安全和威胁情报研究主管Jamie Hankins通过一条推文公布了仍在继续向该死亡开关域发起连接请求的唯一IP地址统计数据。根据Hankins的说法,WannaCry死亡开关域在一周内就收到了1700多万个连接请求。这些请求来自超过63万个不同的IP地址,分属于194个不同的国家/地区。


WannaCry并未走远,Kill Switch域名仍有数十万IP请求

下图展示了仍然受WannaCry勒索软件影响的国家,其中排名前三的分别是中国、印度尼西亚和越南。Hankins告诉BleepingComputer,来自英国的请求约占美国的0.15%,占一天总数的1.23%。不过,这些数据可能会因较长时间内的DHCP流失而出现偏差。


WannaCry并未走远,Kill Switch域名仍有数十万IP请求

此外,Hankins公布的另一个图表展示了每周的连接请求数量。正如预期的那样,与正常工作日相比,周末的数量要少得多。这是因为,在工作日使用计算机的人会更多。


WannaCry并未走远,Kill Switch域名仍有数十万IP请求

无论如何,目前仍然存在这样一个事实,那就是许多计算机仍然受WannaCry勒索软件的影响。对于感染了该勒索软件的普通用户而言,我们所需要做的就是中断网络连接,让它无法连接到这个死亡开关域。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


Viewing all articles
Browse latest Browse all 12749