当WannaCry病毒第一次大爆发时,Kryptos Logic公司的安全研究员马库斯-哈钦斯(Marcus Hutchins)注册了一个域名,找到了病毒攻击的“终止开关”(kill switch),从而成功阻止了WannaCry蔓延。如果该病毒连接到这个“终止开关”域名,那么该病毒的勒索组件就不会激活。不过,这种病毒将继续在后台悄无声息地运行,同时定期连接“终止开关”域名以检查它是否仍处于激活状态。
上周五,Kryptos Logic公司安全与威胁情报研究主管杰米-汉金斯(Jamie Hankins)在微博网站Twitter上发布了一条推文,公布了有关“终止开关”域名的连接次数和IP地址。尽管“终止开关”现在由Cloudflare托管,但是汉金斯称,他们仍然可以访问有关该域名的统计信息。
根据汉金斯发布的数据显示,WannaCry“终止开关”域名在一周内接收到1700多万次连接。这些连接来自194个不同国家/地区的63万多个IP地址。
下面的图表显示了受WannaCry感染仍然最严重的一些国家,其中中国、印度尼西亚和越南位列前三名。汉金斯称,根据一天的统计数据显示,英国的连接次数约占总连接次数的0.15%,而美国的连接次数占总连接次数的1.35%。
图2:一周内不同国家感染WannaCry的IP地址
汉金斯还发布了一张图表,显示了每周的连接次数。正如人们预期的那样,随着更多的用户进入办公室并打开电脑,正常工作日的连接数量比周末要多。
图3:一周内的连接次数
事实上,现在仍然有如此多的计算机感染这种恶意病毒,这确实是一个大问题。
为了防止这种情况发生,汉金斯建议使用公司客户他们的TellTale服务来查找并确保它们的IP地址没有被WannaCry病毒感染。
2018年4月,Kryptos Logic公司发布了一项名为TellTale的服务,它允许任何组织监控其IP地址是否感染病毒。如果一个组织的计算机感染了WannaCry勒索病毒以及Kryptos Logic公司监控的其他已知病毒,那么TellTale服务发现后就会立即通知该组织。
由于仍有大量组织受到WannCry和其他隐形恶意病毒的影响,TellTale成了一种有用的工具,可以在组织受到感染时及时发出警告。