18个月后,WannaCry仍然潜伏在受感染的计算机上

WannaCry Ransomware感染最初爆发18个月后,恶意软件继续在成千上万(如果不是数十万)受感染的计算机上停滞不前。
当WannaCry感染首次被释放时,Kryptos Logic的安全研究员Marcus Hutchins注册了一个域,该域充当了感染勒索软件组件的杀戮开关。如果感染能够连接到此kill开关域,则勒索软件组件将不会激活。但是,感染将继续在后台静默运行,同时例行连接到kill开关域以检查它是否仍然存在。
在上周五由Kryptos Logic的安全和威胁情报研究主管Jamie Hankins发布的Twitter帖子中,发布了有关连接数量和继续连接到kill开关的唯一IP地址的数据。尽管这个kill开关现在由Cloudflare托管,以提供高可用性和防御DDoS攻击,但Hankins告诉BleepingComputer他们仍然可以访问有关此域的统计信息。
感觉像是一个快速结束一年的好时光看看我们的WannaCry数据。我将在此主题中发布一些图表和不同的指标。对@Cloudflare的工作人员大加呐喊,他们从几乎开始就一直向我们提供杀伤开关的帮助。
- Jamie Hankins(@ 2sec4u)2018年12月21日
根据Hankins的说法,WannaCry杀戮交换域在一周内收到超过1700万个信标或连接。这些连接来自超过63万个独特的IP地址,包括一周内194个不同的国家/地区。
下面的图表显示仍然受到WannaCry感染的顶级国家,其中中国,印度尼西亚和越南排名前三。汉金斯告诉BleepingComputer,英国占美国总关系的约0.15%,一天的统计数据为1.35%。这些数字可能会因较长时间内的DHCP流失而出现偏差。
在一周内按国家/地区细分的唯一IP地址
汉金斯还发布了一个图表,显示了每周期间的信标数量。正如预期的那样,与正常工作日相比,周末的连接数量更少,因为更多的用户进入办公室并打开他们的计算机。
信标超过一周

许多计算机仍然感染此恶意软件的事实是一个主要问题。您所需要的只是发生互联网中断,并且勒索开关域不再可供勒索软件启用。

为了防止这种情况发生,Hankins建议使用他们的TellTale服务来查找并确保他们的IP地址不会被WannaCry感染感染。


Kryptos Logic的TellTale服务
在2018年4月,Kryptos Logic发布了一项名为TellTale的服务,允许组织监控其已知感染的IP地址范围。通过使用此服务,如果他们的计算机感染了WannaCry勒索软件以及Kryptos Logic监控的其他已知威胁,将通知组织。






由于大量组织仍然受到WannCry以及可能的其他隐形恶意软件的影响,TellTale是一个有用的工具,可以在受感染时通知组织。
转载请注明本文链接: http://www.mayidui.net/t2851.html
游客
登录后才可以回帖,登录 或者 注册