据外媒BleepingComputer报道,尽管距离WannaCry勒索软件首次爆发已经过去了18个月的时间,但它仍然被发现继续潜伏在数千台受感染的计算机上。
当WannaCry勒索软件首次出现时,来自网络安全公司Kryptos Logic的安全研究员Marcus Hutchins注册了一个域名来充当WannaCry组件的死亡开关(kill switch)——如果WannaCry连接到这个死亡开关域,那么它的组件就不会被激活。但是,WannaCry仍然会继续在后台静默地运行,同时定期向该死亡开关域发起连接请求,以检查该域名是否仍然存在。
在上周五,Kryptos Logic公司的安全和威胁情报研究主管Jamie Hankins通过一条推文公布了仍在继续向该死亡开关域发起连接请求的唯一IP地址统计数据。根据Hankins的说法,WannaCry死亡开关域在一周内就收到了1700多万个连接请求。这些请求来自超过63万个不同的IP地址,分属于194个不同的国家/地区。
下图展示了仍然受WannaCry勒索软件影响的国家,其中排名前三的分别是中国、印度尼西亚和越南。Hankins告诉BleepingComputer,来自英国的请求约占美国的0.15%,占一天总数的1.23%。不过,这些数据可能会因较长时间内的DHCP流失而出现偏差。
此外,Hankins公布的另一个图表展示了每周的连接请求数量。正如预期的那样,与正常工作日相比,周末的数量要少得多。这是因为,在工作日使用计算机的人会更多。
无论如何,目前仍然存在这样一个事实,那就是许多计算机仍然受WannaCry勒索软件的影响。对于感染了该勒索软件的普通用户而言,我们所需要做的就是中断网络连接,让它无法连接到这个死亡开关域。